首页 > 数据库 >【安全测试】【sqlmap】sqlmap快速入门

【安全测试】【sqlmap】sqlmap快速入门

时间:2022-09-27 16:15:02浏览次数:62  
标签:sqlmap 入门 接口 信息 Burpsuite 测试 2.2 请求

一、目的

本文主要介绍如何用sqlmap来测试某个接口是否有sql注入的风险,以及查看对应的注入的payload。

sqlmap支持-u指定接口的url信息,也支持-r 来解析文件中的请求信息。本文主要介绍-r的方式。其他的sqlmap的命令行模式,见sqlmap命令行参数详解。

二、准备接口报文

准备工作主要是指收集接口的请求信息,包括单接口或多接口,get请求或post请求,cookie参数等,以下以一个接口的注入测试为例

辅助工具:fiddler、Burpsuite(以下二者选一即可,目的是拿到接口请求的raw报文)

2.1 fiddler收集接口的请求信息

1.fidler设置代理,在页面访问指定功能后,fidler抓取对应的接口请求信息;

2.将raw原始的接口请求信息,全部复制粘贴,保存到文件req.txt(文件名无限制,后缀为txt即可)

2.2 Burpsuite收集接口的请求信息

2.2.1.设置Burpsuite代理

 

 2.2.2.Burpsuite设置只打断指定ip的请求

 

 

2.2.3.设置浏览器代理(google为例)

设置--高级--打开代理设置,输入代理为第2.2.1中设置的Burpsuite的ip和端口

 

2.2.4 访问页面,在Burpsuite的target-sitemap中找到对应的请求信息,查看raw请求

 

 

2.2.5 将raw复制,保存到文件req.txt文件中,后续步骤要用

三、sqlmap执行

前提:有sqlmap安装包已经解压好,以windows为例(linux同理),sqlmap安装包解压在D:\sqlmap文件夹下,可以找到sqlmap.py文件

cd D:\sqlmap\
python sqlmap.py -r D:\req.txt -v 3 --risk=2 --tamper=space2comment

说明:

req.txt 是第二步中保存的请求报文文件

-v 表示输出信息的级别,3级别会输出payload信息,默认为1级别

-batch 表示无需手动输入交互信息,自动判断输入,默认输入Y

四、结果检查

在控制台会实时输出注入信息

以下输出表示无注入风险:

 

 以下输出表示有注入漏洞存在:

 

标签:sqlmap,入门,接口,信息,Burpsuite,测试,2.2,请求
From: https://www.cnblogs.com/happylumei/p/16734879.html

相关文章

  • 软件测试用例常用七大方法
     第一:测试用例格式包括十大特点用例编号测试项测试标题用例属性重要级别:高中低预置条件测试输入操作步骤预期结果实际结果第二:等价类1,等价类定义2,等价类......
  • 软件测试的流程
    1.需求分析2.编写测试用例(测什么怎么测)3.评审测试用例4.搭建测试环境5.等待程序开发包6.部署测试包7.冒烟测试(测试主体功能是否有问题)8.执行测试用例9.bug跟踪处......
  • python入门第五课--
    今日内容概要作业讲解垃圾回收机制流程控制理论(重要)流程控制之分支结构(重要)流程控制之循环结构(重要)今日内容详细作业讲解1.获取用户输入并打印成下列......
  • 【Devops】【测试左移】代码覆盖率统计的几个脚本
    一、在测试服务器部署路径下注入jacocoinsert.sh是用于将jacoco.sh中的内容打桩到catalina.sh的脚本中,需传一个参数,为服务器的ip地址。使用方式为shinsert.sh<server_ip>......
  • loadrunner入门(关联)
       左右边界:提取第一个idweb_reg_save_param_ex(                "ParamName=Id",        "LB=//OK[1,\[\"",        "RB=\"\],......
  • 软件测试常考面试题-软件测试面试宝典(一篇足矣)
    问:软件测试的原则?答:1.所有测试的标准都是建立在用户需求之上2.始终保持“质量第一”的觉悟,当时间和质量冲突时,时间要服从质量3.需求阶段应定义清楚产品的质量标准4.软......
  • 软件测试的八个原则
    1.所有测试的标准都是建立在用户需求之上2.始终保持“质量第一”的觉悟,当时间和质量冲突时,时间要服从质量3.需求阶段应定义清楚产品的质量标准4.软件项目一启动,软件测试......
  • java怎么入门,哪些经验是值得学习的
    新手学JAVA怎么入门?下面有一些建议和学习方法,希望能够对想学JAVA的人有所帮助!1.确立明确的学习目标首先你要弄清楚自己学JAVA的目的是什么,是仅仅出于兴趣想了解一下这门......
  • CSS快速入门
    1.快速入门​ Style的使用有三种方法:​ 方式一:在标签内直接写CSS样式。​ ​ 方式二:在head标签里面使用(把字体设置为红色)​ ​ 方式三:在文件外写CSS样式,使用Link......
  • 微信小程序入门介绍
    1.创建小程序项目1.申请小程序开发账号2.安装小程序开发者工具3.创建和配置小程序项目1.1注册访问https://mp.weixin.qq.com/网址,点击立即注册,选择小程序,填写......