文章目录
[+]
sql注入的危害非常巨大,包括但不局限于信息透露、网页修改、远程掌握、网页挂马。
那么我们如何探求注入漏洞?判断注入漏洞的依据?常用的测试语句和技巧有哪些?
利用昨天写的google hack技能 来考试测验着探求注入:
搜索可注入网站
利用inurl:php?id= 会搜索到具有id参数的php网站。我们可以通过字符 “ ’ ” 测试,常日包含注入的站点会触发缺点。
某站
测试结果如下:
测试结果
这里就不深入了,请自学考试测验。(上图为显错注入)
常日注入
按照数据类型分:包含数字型(Integer)和字符型(String)两种。
按返回结果分:显错注入(Error-Based)和盲注(Boolean/Time-Based Blind)
注入地方也有很多,常见的有参数值,参数名,Cookie,目录名,文件名等。
不同类型的注入有不同的测试语句,请百度理解。
开始打仗的时候建议练习下手工注入,理解事理。往后我们要学会利用工具,个中sqlmap注着迷奇是值得推举的。
在学习的过程中,建议自己搭建练习环境。可百度 “DVWA渗透测试环境搭建”。
由于头条的限定,文章中不能包含url。今后我会分享些学习教程在微头条中。建议大家及时关注。
