没有合适的资源?快使用搜索试试~ 我知道了~
温馨提示
试读
128页
Sqlmap使用手册中文版 Sqlmap是十分著名的、自动化的SQL注入工具。 sqlmap简介 sqlmap支持五种不同的注入模式: 基于布尔的盲注 基于时间的盲注 基于报错注入 联合查询注入 堆叠注入 Sqlmap是开源的自动化SQL注入工具,由Python写成,具有如下特点: 完全支持MySQL、Oracle、PostgreSQL、Microsoft SQL Server、Microsoft Access、IBM DB2、SQLite、Firebird、Sybase、SAP MaxDB、HSQLDB和Informix等多种数据库管理系统。 完全支持布尔型盲注、时间型盲注、基于错误信息的注入、联合查询注入和堆查询注入。 在数据库证书、IP地址、端口和数据库名等条件允许的情况下支持不通过SQL注入点而直接连接数据库。 支持枚举用户、密码、哈希、权限、角色、数据库、数据表和列。 支持自动识别密码哈希格式并通过字典破解密码哈希。 支持完全地下载某个数据库中的某个表,也可以只下载某
资源推荐
资源详情
资源评论
sqlmap 用户手册
官方网站:sqlmap.org
GitHub 仓库:github.com/sqlmapproject/sqlmap
用户手册:sqlmap Wiki
什么是 sqlmap?
sqlmap 是一款自动化检测与利用 SQL 注入漏洞的免费开源工具。
如何学习使用 sqlmap?
除了阅读本文档,你还可以结合 (一个 SQL 注入实验系统)来实践 sqlmap。sqli-labs
参与翻译
本文档发布在 ,你可以访问 参与翻译,帮助我们修正翻译错误、提升翻
译质量。
GitBook sqlmap-wiki-zhcn (GitHub)
当你发现任何可改进之处,请 Fork 本项目并向我们发起 Pull Request,流程参见: 。复刻他人项目
格式约定
原则上使用 中建议的格式。中文文案排版指北
重点关注的几点:
1. 标点符号:使用中文标点符号,代码则沿用英文原文。
2. 中文和英文、数字之间用空格隔开。例如:这是 1 份 sqlmap 中文文档。
3. 专有名词一般不翻译,如 Google。
水平所限,难免出现纰漏,欢迎任何指正、建议、意见和批评。
译者
Octobug
Shady
介绍
译自:
Introduction
检测和利用 SQL 注入漏洞
假设你正在进行 Web 应用审计,发现有某个 Web 页面接受来自用户端提供的动态数据,这些数据通过
GET , POST 或 Cookie 参数或 HTTP User-Agent 请求头发送。
因而,你想测试是否可以通过参数构造出 SQL 注入漏洞,如果有漏洞,则可以利用它们从后端 DBMS
(Database Management System,数据库管理系统)中获取尽可能多的信息,甚至进一步控制底层的文件
系统和操作系统。
简而言之,考虑下面的 url:
http://192.168.136.131/sqlmap/mysql/get_int.php?id=1
假设:
http://192.168.136.131/sqlmap/mysql/get_int.php?id=1+AND+1=1
页面显示跟原来的一样(AND+1=1 条件取值为 True(译者注:url 编码中 + 会被转成空格)),而:
http://192.168.136.131/sqlmap/mysql/get_int.php?id=1+AND+1=2
页面显示跟原来的不一样(AND+1=2 条件取值为 False)。这可能说明 index.php 的 GET 参数 id 存
在 SQL 注入漏洞。此外,这种情形也表明用户输入的数据在 SQL 语句传送到 DBMS 之前没有被过滤。
这种设计缺陷在动态网页应用中十分常见,此类型漏洞与后端 DBMS 或后端编程语言并没有关系,漏洞的引
入通常存在于代码的编写逻辑里面。从 2013 年开始,
已将此类漏洞列入 (译者注:原链接失效,重新添加了有效链接)严重
Web 应用漏洞的 名单。
OWASP(Open Web Application Security Project,
开放 Web 应用安全组织) 最常见
前十
从上面的例子我们发现了存在可以利用的参数,现在我们可以通过在每一次的 HTTP 请求中修改 id 进行相
关的漏洞检测。
重回上面的情景,根据以往经验,我们可以对 get_ini.php 页面中如何使用用户提交的参数值构建出相
应的 SELECT 语句做一个大致的猜测。参考下面的 PHP 伪代码:
$query = "SELECT [column name(s)] FROM [table name] WHERE id=" . $_REQUEST['id'];
剩余127页未读,继续阅读
资源评论
勇敢许牛牛在线大闯关
- 粉丝: 1119
- 资源: 3
上传资源 快速赚钱
- 我的内容管理 展开
- 我的资源 快来上传第一个资源
- 我的收益 登录查看自己的收益
- 我的积分 登录查看自己的积分
- 我的C币 登录后查看C币余额
- 我的收藏
- 我的下载
- 下载帮助
安全验证
文档复制为VIP权益,开通VIP直接复制
信息提交成功