Wooyun常用扫描SQL注入工具:Sqlmap
作者:网络转载 发布时间:[ 2016/5/23 13:35:35 ] 推荐标签:漏洞 数据库 软件测试工具
sql注入漏洞是非常严重的安全事故,除了遵循安全的编码规范外,通过自动化的工具扫描也是必要的工作。
sqlmap是一个开源的自动sql注入检测工具,通过sql注入破解数据库的相关信息甚至可以获取服务器的shell 权限。官网:sqlmap.org,文档wiki:文档wiki
基础环境
支持windows/linux
需安装python,建议安装 2.7以上版本
安装
下载压缩包:https://github.com/sqlmapproject/sqlmap/
解压即可
使用
sqlmap支持的参数非常丰富,包括指定cookie,header等等配置,破解数据库信息,获取服务器shell等等,详细看官方的手册,以下列举常用的方式:
/path/sqlmap.py -u "http://xxx.xxx.com/jzshow/gacs/list/id/3" --current-db
参数备注:
-u 指定目标的url链接
--current-db 获取当前数据库名称
详细参数
官方:https://github.com/sqlmapproject/sqlmap/wiki/Usage
wooyun用户翻译:http://drops.wooyun.org/tips/143
结果
不存在注入漏洞
结果截图:安全
存在注入漏洞
结果截图:存在漏洞
记录于2015/11,更新于2016/03
相关推荐
更新发布
功能测试和接口测试的区别
2023/3/23 14:23:39如何写好测试用例文档
2023/3/22 16:17:39常用的选择回归测试的方式有哪些?
2022/6/14 16:14:27测试流程中需要重点把关几个过程?
2021/10/18 15:37:44性能测试的七种方法
2021/9/17 15:19:29全链路压测优化思路
2021/9/14 15:42:25性能测试流程浅谈
2021/5/28 17:25:47常见的APP性能测试指标
2021/5/8 17:01:11