zoukankan      html  css  js  c++  java
  • [心得]如何快速利用SqlMap做安全檢測

    SqlMap的介紹我就不詳提啦!SqlMap是用來尋找與做Sql-injection的一款工具

    在使用前你需要安裝python唷!安裝的過程我們就不介紹了。

    直接來看如何快速使用SqlMap吧!

    這裡我會用到以下的工具

    sqlmap - 主要用來檢測與利用Sql-Injection漏洞

    fiddler  - 方便我們截取HTTP Get 或是 Post 內容 

    我的環境是Windows,Linux的朋友其實也差不多唷!只是需要找另外的HTTP截取工具


    好啦!我們就直接拿一個網站當例子 : )

    假設以下的網站有injection漏洞的話(我們這裡是拿HTTP Post當範例)

    1.讓我們先打開Fiddler,然後重新Refresh這個網站。會看到像這樣的列表 (IP已經被我遮掉囉 :D)

    2.接下來很簡單,只要回到我們的網站,然後隨意的打幾個東西。最後按送出

    3.再度回到我們的Fiddler,你會發現他多了一個Result (這裡要注意,如果你有開其它的網站,相關的包都會一併被截取。所以還是只開一個目標網站會比較單純)

    我們需要的是Raw的內容,請把Raw的內容複製起來,貼到txt檔裡。

    把raw的內容貼到txt檔中

    4.接下來就是實際的快速應用啦!假設我們的txt檔是放在D:Injection底下的話。

    我們就可以直接下sqlmap -a  -r  D:Ijnection arget.txt 。(畫面指令不太一樣,是因為我沒有設定python路徑參數)
    下完指令後就等他產出結果了,如果目標網站確定有sql-injection漏洞的話,結果也會像下圖。

    可以看到他做了injection測試,最後成功的獲取伺服器相關的資訊 ...記得不要拿去做壞事唷!!

  • 相关阅读:
    parseInt 的第二个参数
    htm Dom对象与 Xml Dom对象的理解
    js 立即执行函数,() .则前面的function 是表达式,不能是函数申明
    Promise A 规范的一个简单的浏览器端实现
    css3,环绕圆环 loading,小组件
    有用的小程序的总结
    STM32定时器的小问题总结
    stm32 串口发送数据第一字节丢失
    嵌入式C语言编程小知识总结
    STM32多通道ADC操作
  • 原文地址:https://www.cnblogs.com/KingJaja/p/5108760.html
Copyright © 2011-2022 走看看