sql注入之mysql数据库 sqlmap工具 伪静态注入 注入防御

已于 2022-04-12 16:30:02 修改
阅读量2.9k 收藏 5
点赞数 1
文章标签: mysql web安全
于 2022-03-03 11:07:31 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_46476861/article/details/123233567
版权
本文探讨了SQL注入问题,特别提到了MySQL数据库中的情况。讲解了如何使用SqlMap工具进行测试,指出SqlMap基于Python2且不支持Python3。此外,还介绍了伪静态注入的概念,它并非由SqlMap处理。最后,讨论了防止SQL注入的策略,如PDO预处理技术在PHP中的应用。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

python2和python3互不兼容,SqlMap是基于python2的,用2.7或之前的,所以SqlMap不支持python3
在这里插入图片描述
在这里插入图片描述
-u
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
–level
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
–risk
范围是1-3,下面这个写错了
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
-v
在这里插入图片描述
在这里插入图片描述
在包里参数进行测试语句
在这里插入图片描述
-m
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

最低0.47元/天 解锁文章
范PEI西
关注
【漏洞挖掘】——25、XXE靶机实践测试
Fly_鹏程万里
03-08 8679
Haboob团队根据https://www.exploit-db.com/docs/45374发表的论文"XML外部实体注入-解释和利用"制作了这个虚拟机以利用私有网络中的漏洞,我们希望你喜欢这个挑战!
18-OWASP top10--SQL注入(三、MSSQLMysql手工注入Sqlmap工具使用)
XLbb的博客
05-27 1482
' 与and 1=1 and 1=2--检查注入点 ' order by 1,2--+&Submit=Submit#--检查字段 ' union select user(),version()--+&Submit=Submit# --查看数据库用户名和版本、库名 'union select 1,group_concat(schema_name) from inform 注入防御 1、涵数过滤 2、直接下载相关防范注入文件,通过incloud包含放在网站配置文件里面 3、PDO预处理
渗透日记-利用SQLMAP伪静态注入
weixin_30363981的博客
09-14 323
今日找到一个网站,做下安全检测,url是这样的: 不是传统的.php结尾,所以很多人认为这个不能注入,其实伪静态也能注入的,这个url虽然做了伪静态,但是还是需要传递参数到数据库去查询的,试试能否注入。于是提交     http://www.xxxx.com/product/detail/id/3-1.html 页面的信息出现变化: 页面出现了变化,通常来说是存在S...
SQL注入之——伪静态注入
weixin_41657031的博客
07-15 2520
1.什么是伪静态注入? 答:“伪静态”顾名思义就是一种表面上看似是静态网页(以.html、.htm等结尾),不存在任何的数据交互,却其实是动态网页,存在数据交互的网站,具有这种特性的网页成为“伪静态网页”。我们看到的伪静态网页其实是经过处理的,将动态网页的id等参数通过URL重写来隐藏,让查看者以为是静态网页。展示出来的是以html一类的静态页面形式,但其实是用PHP一类的动态脚本来处理的。 2....
伪静态sql注入
p_utao的博客
09-17 3121
伪静态是什么 伪静态是相对真实静态来讲的,通常我们为了增强搜索引擎的友好面,都将文章内容生成静态页面,但是有的朋友为了实时的显示一些信息。或者还想运用动态脚本解决一些问题。不能用静态的方式来展示网站内容。但是这就损失了对搜索引擎的友好面。怎么样在两者之间找个中间方法呢,这就产生了伪静态技术。伪静态技术是指展示出来的是以html一类的静态页面形式,但其实是用ASP一类的动态脚本来处理的。 伪静态验证 既然,我们了解什么是伪静态后,那么我们怎么判断一个网站是静态还是伪静态的呢? 首先我们可以根据网站最后的修
渗透测试:sqlmap伪静态注入与携带cookie登录认证注入
热门推荐
foryouslgme的博客
10-10 2万+
sqlmap伪静态注入与携带cookie登录认证注入
数据库原理了解什么是sql注入
heibaikong6的博客
12-04 1096
文章目录数据库相关概念 数据库相关概念
19-OWASP top10--SQL注入(四、sqlmap安装及Sqlmap高级使用及注入防范)
XLbb的博客
05-28 1043
4”同时显示HTTP请求;紧跟其后的 "c://lan//1.txt" 是指定要读取的文件路径。动态页面:用ASP、PHP、JSP、ASP.net、Perl、或CGI等编程语言制作,不是独立存在于服务器上的网页文件,只有当用户请求时服务器才返回一个完整的网页,内容存在于数据库中,根据用户发出的不同请求,其提供个性化的网页内容。静态页面:静态页面的URL链接是以.html、htm、.shtml、.xml为链接后缀,存在于服务器上的一个文件,每个网页都是一个独立的文件,内容直接保存在文件中,没有连接数据库
基于sqlmap的被动SQL注入扫描技术研究与实现.pdf
09-19
sqlmap是一个开放源码的自动化SQL注入数据库渗透测试工具,它支持多种数据库平台,并能够检测和利用SQL注入漏洞,获取数据库信息、表和列的数据,甚至访问操作系统层面。 该方案的设计基于sqlmap的代理服务器模式...
干货!一次伪静态页面的SQL注入!白帽黑客实战 。
m0_60571990的博客
11-22 895
干货!一次伪静态页面的SQL注入!白帽黑客实战 。
sqlmap实现自动伪静态批量检测
YQ的博客
05-25 2884
原文地址:http://www.myhack58.com/Article/html/3/7/2016/74639.htm 0x00 前言 由于还找到一款比较适合批量检测sql注入点的工具(proxy+sqlmapapi的方式批量检测之类的批量sql注入点检测),我的目光就转向了sqlmap。虽然sqlmap没有支持伪静态注入点的测试(需要手动添加注入标记),由于是python写
伪静态注入
cnbird's blog
06-01 5359
伪静态注入
SQL注入防御之一——伪静态(PHP)
心有猛虎,细嗅蔷薇!
08-22 2998
伪静态是相对真实静态来讲的,通常我们为了增强搜索引擎的友好面,都将文章内容生成静态页面,但是有的朋友为了实时的显示一些信息。或者还想运用动态脚本解决一些问题。不能用静态的方式来展示网站内容。但是这就损失了对搜索引擎的友好面。怎么样在两者之间找个中间方法呢,这就产生了伪静态技术。就是展示出来的是以html一类的静态页面形式,但其实是用PHP一类的动态脚本来处理的。。 概述 众所周知,web安全防御一直
安鸾渗透实战平台(sql注入伪静态&搜索注入 (100分)
weixin_50985113的博客
02-08 607
安鸾渗透实战平台sqlmapbp。
【转载】伪静态SQL注入
08-27 283
伪静态,主要是为了隐藏传递的参数名,伪静态只是一种URL重写的手段,既然能接受参数输入,所以并不能防止注入。目前来看,防止注入的最有效的方法就是使用LINQ。常规的伪静态页面如下:http://www.2cto.com /play/Diablo.html, 在看到之前先要确定这个页面是静态还是伪静态,鉴别方法很多。 例如关联的动态页面是game.php ,那么当用户访问后程序会自动转换成...
sqlmap伪静态注入
weixin_34236497的博客
07-28 1068
注入页面:http://www.xxx.com/339.html命令:python sqlmap.py -u "http://www.xxx.com/339*.html" 转载于:https://blog.51cto.com/0x007/1259237
sql 时间相减_SQL注入伪静态注入
weixin_39922642的博客
12-09 225
一、伪静态介绍0x01 什么是伪静态页面 "伪静态"顾名思义就是一种表面上看似是静态网页(比如以.html、.htm等结尾),看似不存在任何的数据交互,却其实是动态网页,存在数据交互的网站,具有这种特性的网页被称为伪静态网页。我们看到的伪静态网页其实是经过处理的,将动态网页的id等参数通过URL重写来隐藏,让查看者以为是静态网页。0x02 伪静态页面原理对于很多网站来...
【新手入门】SQL注入伪静态注入
最新发布
2401_89344791的博客
02-24 737
静态网站是由纯HTML文件组成,这些文件在服务器上已经预先生成好,用户请求时直接返回给客户端。
Fox-scan:主动与被动SQL注入攻击测试工具分析
SQLMAP 是一个开源的自动化SQL注入数据库渗透测试工具。它支持多种数据库管理系统,包括MySQL, PostgreSQL, Oracle, Microsoft SQL Server, Microsoft Access, IBM DB2, SQLite, Firebird, Sybase和SAP MaxDB等。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值