Web安全:SQL注入实战测试.(扫描 + 测试)

news2024/11/15 15:36:59

Web安全:SQL注入实战测试.

SQL注入就是 有些恶意用户在提交查询请求的过程中 将SQL语句插入到请求内容中,同时程序的本身对用户输入的内容过于相信,没有对用户插入的SQL语句进行任何的过滤,从而直接被SQL语句直接被服务端执行,导致数据库的原有信息泄露,篡改,甚至被删除等风险。


目录:

SQLmap 工具测试:

使用文档的形式【-r】.(因为这个方法使用的多)

(1)当我们扫描出 SQL注入漏洞 时,我们可以使用 SQLmap 工具进行测试

(2)在请求数据文档中,把 变量=号 后面的数据删除

(3)使用 SQLmap 进行测试.【使用 -r 参数】

使用常规形式的测试.【-u】

(1)当我们扫描出 SQL注入漏洞 时,我们可以使用 SQLmap 工具进行测试

(2)把变量后面的数据删除,或者添加 1 都行.

(3)使用 SQLmap 进行测试.【使用 -u 参数】

手工测试:

(1)了解 工具测试 的过程和显示的数据是什么.

(2)打开 Burp 进行抓包,我们可以去访问 注入点的页面.


SQLmap 工具测试:

使用文档的形式【-r】.(因为这个方法使用的多)

(1)当我们扫描出 SQL注入漏洞 时,我们可以使用 SQLmap 工具进行测试,验证漏洞是否存在.


(2)在请求数据文档中,把 变量=号 后面的数据删除,如果有二个变量一般是要&号隔开.

【设置 * 号,工具就是在这个位置上进行测试是否存在注入点.】

【如果没有 * 号,文档测试就无法测试.】


(3)使用 SQLmap 进行测试.【使用 -r 参数】
sqlmap -r 11.txt --batch --dbs
-r        文件的路径 

--batch   默认sqlmap工具提出的(是否)为:y 

--dbs     显示站点所有数据库


使用常规形式的测试.【-u】

(1)当我们扫描出 SQL注入漏洞 时,我们可以使用 SQLmap 工具进行测试,验证漏洞是否存在.


(2)把变量后面的数据删除,或者添加 1 都行.


(3)使用 SQLmap 进行测试.【使用 -u 参数】
sqlmap -u "http://192.168.1.103:801 /pikachu/vul/sqli/sqli_x.php?name=1&submit=1" --batch --dbs
-u        要测试的URL注入点的路径 

--batch   默认sqlmap工具提出的(是否)为:y 

--dbs     显示站点所有数据库


手工 测试:

(1)了解 工具测试 的过程和显示的数据是什么.


(2)打开 Burp 进行抓包,我们可以去访问 注入点的页面.【然后把数据发送到重发器中】

   

   

   

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/2073771.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

Docker绑定挂载使用手册

目录 目标 官方文档 绑定挂挂载(Bind mounts) 简介 基本创建方法 控制读写权限(默认有读写权限) 为什么绑定挂载不适合做数据库持久化 为什么绑定挂载更适合做热部署 临时挂载(tmpfs mounts) 简介…

CSS中的元素布局与定位详细说明

1、前言 在CSS开发中,很重要的一个工作就是根据UI设计稿,进行元素的布局与定位,使得元素(比如某一段文本、按钮、图片等)显示在页面正确的位置。本文就元素的布局与定位方面,做一些讲解和说明。 2、元素的…

PHP易支付系统,支付系统源码下载,已测试,带多个支付接口

易支付系统源码,已测试,功能齐全,带有多支付接口,站内有对应的视频教程,详细教程 搭建出来的网站前端和后台还是比较美观的 PHP全开源易支付系统源码,一键安装版 搭建环境:PHP 5.4 以上 推荐7…

数学基础(九)

一、相关分析 相关分析: 衡量事物之间或称变量之间线性相关的强弱,并适当的统计指标表示出来的过程 相关系数: 连续变量的相关分析: 连续变量即数据变量,它的取值之间可以比较大小,可以用加减法计算出差…

Google Colab快速使用

Google Colab快速使用 1. 引言2. Jupyter笔记本的创建3. 上传代码和数据集4. Colab常规指令 1. 引言 Google Colab是谷歌提供的免费Jupyter,很类似于Linux系统这些在终端界面操纵的感觉,不需要深度学习环境配置就可以使用,完全基于云端运行。…

【celery-2】python-Django发送邮件-短信-钉钉通知

一 Python发送邮件 1.1 使用SMTP模块发送邮件 import smtplib from email.mime.text import MIMEText from email.header import Headermsg_from xxxqq.com # 发送方邮箱 passwd xxx # 填入发送方邮箱的授权码(填入自己的授权码,相当于邮箱密码) msg_to [xxx…

两种方式实现图片标记

效果图 第一种&#xff1a;通过动态添加dom元素实现标记 代码如下 // index.tsx import React from "react"; import "./index.less";export default function index() {const parentRef React.useRef<any>(null);const ulRef React.useRef<a…

网站技术分析必备插件Wappalyzer Chrome介绍

引言 在日常的开发过程中&#xff0c;开发者们经常会对访问的某些网站使用了哪些技术感到好奇。无论是网页的前端框架、后台的编程语言&#xff0c;还是数据库的类型&#xff0c;这些信息对于开发者优化自己的网站或者了解行业趋势都非常有用。然而&#xff0c;直接从浏览器获…

LLM开发之自动编码系统实战开发(一)-- MiniRBAC 集成

文章目录 前言&#x1f387;MiniRBAC部署启动日志修改更换Mysql创建数据库数据库连接修改查询 Next ✨ 前言&#x1f387; 首先这个系统呢&#xff0c;俺们目前是还没有做好的&#xff0c;但是相关的技术积累我们是完全没有问题的。当然这个系统其实将是我们这个项目&#xff…

Android 消息机制Handler完全解析(一)

提到Handler相信即使你是刚入行的android开发也会用过&#xff0c;可能你会觉得很简单&#xff0c;但是Handler中包含的内容真的不是你理解的那么简单&#xff0c;可能有些工作3-5年的同学也没有对其有很深入的了解。但Handler在android中的地位非常重要&#xff0c;并且几乎是…

图解Kafka | 5张图讲透Kafka 消费者交付语义

Kafka 消费者交付语义指的是 Kafka 消费者在处理消息时如何保证消息的可靠性和一致性。这涉及到消息是否被丢失、重复处理或者按顺序消费。 Kafka消费者交付语义有三种&#xff0c;即&#xff1a; 最多一次至少一次精确一次 当消费者组/消费者从 Kafka 消费数据时&#xff0…

昂科烧录器支持Airoha达发科技的蓝牙音频芯片AB1568

芯片烧录行业领导者-昂科技术近日发布最新的烧录软件更新及新增支持的芯片型号列表&#xff0c;其中Airoha达发科技的蓝牙音频芯片AB1568已经被昂科的通用烧录平台AP8000所支持。 AB1568是一款获得蓝牙5.3和LE音频认证的单芯片解决方案&#xff0c;包含一个ARM Cortex-M4F应用…

香蕉梨:自然的甜蜜宝藏

在水果的缤纷世界里&#xff0c;有一种独特的存在&#xff0c;它融合了香蕉的软糯与梨子的清甜&#xff0c;那便是令人惊艳的香蕉梨。 食家巷香蕉梨&#xff0c;外形圆润可爱&#xff0c;色泽金黄中带着一抹清新的嫩绿&#xff0c;宛如大自然精心雕琢的艺术品。当你拿起一个香蕉…

使用Java进行中小学违规教育培训数据采集实践-以某城市为例

目录 前言 一、违规教育信息 1、内容管理 2、转换后的内容 二、数据库设计 1、空间数据库 三、字符地址位置转换空间信息 1、实现时序图 2、后台实体类的设计与实现 3、数据持久化操作 四、总结 前言 时间来到2024年8月24日&#xff0c;时间过得很快&#xff0c;2024…

PowerShell | git log 中文乱码问题解决

总结一下: 乱码核心问题就是对不上编码.改成对应编码即可. 明白‌LESSCHARSET环境变量‌是用来设置less命令的字符集编码的。当在命令行中使用less命令查看文件时&#xff0c;如果文件包含非ASCII字符&#xff08;如中文&#xff09;&#xff0c;可能会出现乱码问题。通过设置…

SpringBoot+Vue实现大文件上传(断点续传-前端控制)

SpringBootVue实现大文件上传&#xff08;断点续传&#xff09; 1 环境 SpringBoot 3.2.1&#xff0c;Vue 2&#xff0c;ElementUI 2 问题 在前一篇文章&#xff0c;我们写了分片上传来实现大文件上传&#xff0c;存在一个问题就是&#xff0c;中间失败的话需要重新上传&#…

QT WIN11 FluentUI APP开发

代码 import QtQuick import QtQuick.Controls import FluentUIItem {property bool autoPlay: trueproperty int loopTime: 2000property var modelproperty Component delegateproperty bool showIndicator: trueproperty int indicatorGravity : Qt.AlignBottom | Qt.Align…

【MySQL】一文带你理清<行级锁>(行锁,间隙锁,临键锁)

前言 大家好吖&#xff0c;欢迎来到 YY 滴MySQL系列 &#xff0c;热烈欢迎&#xff01; 本章主要内容面向接触过C Linux的老铁 主要内容含&#xff1a; 欢迎订阅 YY滴C专栏&#xff01;更多干货持续更新&#xff01;以下是传送门&#xff01; YY的《C》专栏YY的《C11》专栏YY的…

STM32(六):定时器——输出比较实验

PWM驱动呼吸灯 源码&#xff1a; #include "stm32f10x.h" // Device headervoid PWM_Init(void) {RCC_APB1PeriphClockCmd(RCC_APB1Periph_TIM2,ENABLE);//开启时钟TIM_InternalClockConfig(TIM2);//选择时基单元的时钟TIM_TimeBaseInitTypeDef TI…

怎么管控终端电脑上的移动端口

管控终端电脑上的移动端口&#xff0c;尤其是USB等移动端口&#xff0c;是确保企业数据安全和提升网络管理效率的重要手段。 一、使用注册表编辑器禁用USB端口&#xff08;适用于Windows系统&#xff09; 打开注册表编辑器&#xff1a; 同时按下“WinR”组合键&#xff0c;打…