SQL Injection SQL注入丨DVWA

SQL Injection

通过把 SQL 命令插入到 Web 表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的 SQL 命令。
话说 SQL 注入 这个非常有名的 Web 漏洞,我本以为学习的课程中会详细讲解,结果,没想到一个命令就解决了。。。

测试 Web 站点是否存在此类漏洞的方法,是通过 Kali Linux 中的 sqlmap 命令(一个自动化测试脚本):
[cc lang = “bash” escaped = “true”]
sqlmap -r sql_level.txt –level=5 –risk=3 –dbs
[/cc]
上述为一个例子,其中 sql_level.txt 为 HTTP 请求,其它为相关参数,具体可使用帮助查看。



Leave a Reply

Your email address will not be published. Required fields are marked *