【BurpSuite】【SQLmap】sql注入漏洞

通过把 SQL 命令插入到 Web 表单递交或输入域名或页面请求的查询字符串,最终达到执行 SQL命令的目的。

页面的搜索框、登录框、输入栏; 请求方式; 请求头;所有能与用户进行交互的地方都可能存在注入

1、工具准备

BurpSuite

SQLmap

2、BurpSuite获取被测接口信息

在被测系统界面进行手工操作;

BurpSuite抓取到相应接口;

在BurpSuite中找到对应的请求后右键保存到文件,保存为一个txt文件

3、运行sqlmap

-r 表示 "read request from file",即从文件中读取 HTTP 请求。

--batch 表示自动模式,即 sqlmap 在检测过程中不会停下来问你问题(默认自动回答"Yes")

4、查看结果

如下图所示,运行结束反馈未发现注入漏洞

结果样式 是否有问题 含义
[INFO] parameter appears to be injectable ✅ 有问题 存在注入点
[INFO] the back-end DBMS is ... ✅ 有问题 成功识别数据库
[INFO] fetching tables... ✅ 有问题 可利用漏洞
[WARNING] parameter does not appear to be injectable ❌ 安全 未发现漏洞
[INFO] all tested parameters do not appear to be injectable ❌ 安全 测试范围内安全
相关推荐
Devlive 开源社区3 小时前
Nebula 1.6.0 发布:跨区域桶自动路由、秒传、文本/PDF 预览一次到位
数据库·sql
leonshi3 小时前
数据库关联表查询出重复数据的原因分析与解决
sql·重复数据
数据知道4 小时前
网络安全职业规划:从入门到高级安全工程师的路径图
安全·web安全·网络安全·渗透测试·职业规划
Gyr05 小时前
关于证书站捡洞这一档事
安全·web安全
网安蟹佬霸6 小时前
我国网络安全人才缺口现状、成因与对策研究
安全·web安全
chatexcel6 小时前
不用写 SQL,如何用AI直连数据库生成可刷新的数据看板?ChatExcel的一种实践
大数据·数据库·人工智能·sql·数据分析·excel
峥无7 小时前
SQL性能调优:从执行计划看懂索引的使用与失效
数据库·sql
凤山老林8 小时前
ORM 框架性能调优:Spring Boot 下 N+1 查询根因治理、动态 SQL 优化与 Fetch 策略实战
数据库·spring boot·sql
HackTwoHub8 小时前
AntiDebug Mcp、AI逆向绕过前端,Hook 加密接口,抓取 Vue 路由漏洞,接入 MCP 让 AI 自动化挖掘前端漏洞
前端·vue.js·人工智能·安全·web安全·网络安全·系统安全
神秘的MT9 小时前
SQL Server 分页查询 ROW_NUMBER () OFFSET...FETCH游标(Cursor) 数据插入
数据库·sql·学习·c#·winform