【Python】实现URL-sql注入检测+源码分析

最新推荐文章于 2024-02-21 10:53:09 发布
VIP文章 最新推荐文章于 2024-02-21 10:53:09 发布
阅读量8.9k 收藏 19
点赞数 7
分类专栏: Python 原创作品
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lzy98/article/details/54730744
版权 


上篇博客写到了对原始URL爬行页面提取有效URL
这篇继续深入,当提取到URL后开始检测是否存在注入漏洞
  SQL注入检测思路:
                爬行网址,提取带有参数的url  如 http://www.target.com/show.asp?id=666 这样的url地址


                然后通过5重验证 : 
                                                 1.在后面加上一个单引号
                                                 2.加上 And 1=1
                                                 3.加上 And 1=2
                                                 4.加上 And '1'='1
                                                 5.加上 And '1'='1    当然注入检测参数还是需要url编码然后在发送

       通过对比每层返回的状态码 + 返回内容content + 双层内容对比  实现判断注入点


#coding = utf-8
#__author = lzyq
import re
import requests
import time
from bs4 import BeautifulSoup as asp
import random
import os
print unicode('''

作者:浪子燕青

作者QQ:982722261

''','gbk')
time.sleep(8)
headeraa = {'User-Agent': 'Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; WOW64; Trident/4.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; .NET4.0C; .NET4.0E)',}
zhaohan = open('mINJlogo.txt','a+')
zhaohan8 = open('INJ.txt','a+')
#一些数据库报错语句,用来判断是否是数据库报错
huixian1 = "is not a valid MySQL result resource"
huixian2 = "ODBC SQL Server Driver"
huixian3 = "Warning:ociexecute"
huixian4 = "Warning: pq_query[function.pg-query]"
huixian5 = "You have an error in your SQL syntax"
huixian6 = "Database Engine"
huixian7 = "Undefined variable"
huixian8 = "on line"
hansb = open('urllist.txt','r')
hanssb = hansb.readlines()
hansb.close()
ttzh = str(time.ctime())
#如果没有相关采集到的url地址先参考上篇博客,获取相关url
zhaohan.write('-------------------------------------------------LOGO-------------------------------------------------' + '\n')
headers={'User-Agent':'Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.1 (KHTML, like Gecko) Chrome/21.0.1180.92 Safari/537.1 LBBROWSER'}
def attack(urlx):
    payload0 = urlx + "'
最低0.47元/天 解锁文章
浪子燕青啦啦啦
关注
  • 7
    点赞
  • 19
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 4
    评论
专栏目录
Python实现SQL注入检测插件实例代码
09-19
主要给大家介绍了关于Python实现SQL注入检测插件的相关资料,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
python sql注入扫描器编写_Python实现SQL注入检测插件实例代码
weixin_39828102的博客
12-09 826
扫描器需要实现的功能思维导图爬虫编写思路首先需要开发一个爬虫用于收集网站的链接,爬虫需要记录已经爬取的链接和待爬取的链接,并且去重,用 Python 的set()就可以解决,大概流程是:输入 URL下载解析出 URLURL 去重,判断是否为本站加入到待爬列表重复循环SQL 判断思路通过在 URL 后面加上AND %d=%d或者OR NOT (%d>%d)%d后面的数字是随机可变的然后搜索网页...
SQL注入漏洞的检测及防御,零基础入门到精通_sql 防注入检测
Spontaneous_0的博客
02-21 930
SQL注入(SQL Injection)是一种广泛存在于Web应用程序中的严重安全漏洞,它允许攻击者在不得到授权的情况下访问、修改或删除数据库中的数据。这是一种常见的攻击方式,因此数据库开发者、Web开发者和安全专业人员需要了解它,以采取措施来预防和检测SQL注入漏洞。01什么是SQL注入SQL注入是一种攻击技术,攻击者通过在输入字段中插入恶意SQL代码,试图欺骗应用程序以执行不安全的数据库操作。这些恶意SQL代码将与应用程序的数据库进行交互,允许攻击者执行未授权的操作。
SQL注入漏洞
weixin_43654083的博客
10-30 57
SQL注入漏洞 Java数据库工具类 //java数据库工具类 package com.itheima.jdbc.demo3; import java.io.FileInputStream; import java.io.FileNotFoundException; import java.io.IOException; import java.sql.Connection; import java.sql.DriverManager; import java.sql.ResultSet; import
Python打造漏洞扫描器 10
oxuzhenyi的博客
05-26 6638
扫描器测试以及未来展望 一、实验简介 这是扫描器的最后一章,主要说说扫描器的使用方式以及对未来的展望。 二、扫描器测试 这个扫描器是python 2.7写的,开发在windows平台上,测试在linux上(实验楼的实验平台),经过测试,在这两个系统上都能够运行。 另外,只需要python安装两个库就可以。 在PIP上的安装指令 pip install reques
SQL注入漏洞批量扫描器
soldi_er的博客
04-09 2407
文章目录概述1. 调用谷歌进行批量搜索2. 筛选相关网站链接 概述   整体私立: 1.调用Google批量搜索; 2.筛选出相关网站链接; 3.拿到链接后,对单页面进行SQL注入的参数探测 4.输出探测结果。 1. 调用谷歌进行批量搜索 测试: # 开启HTTP代理,成功访问代码:print(requests.get("https://www.google.com.hk/search?q=中国").text) # 成功访问代码:print(requests.get("https://www.google
使用Python打造基本WEB漏洞扫描器(一) 网站爬虫+SQL注入检测
Wang Gangdan的博客
03-07 1万+
一、实验介绍 扫描器需要实现功能的思维导图: 1.1 实验内容 编写一个简单的多线程爬虫,用于对网站地址进行爬取,编写一个简单的sql注入工具,用于对网站地址进行sql注入检测。 1.2 实验知识点 多线程的使用 网站爬虫的基本知识 SQL注入的基本原理 SQL检测工具编写,多参数URLsql注入检测 正则表达式的基本知识 1.3 实验环境 Python 2.7 Win10 PyCha...
3-2SQL注入网站实例:注入点的发现与测试
山兔的博客
02-09 5630
我们得到目标网站的一般信息和技术分析信息之后,我们接下来,就开始寻找注入点和测试注入点 1.常用注入点在哪里? 1.常用注入点 我们一般在三个地方,寻找注入点 A.表单中的输入域 B.URL的参数 除非特别说明,否则其它的默认我们叫URL的参数中进行发挥 也是url中最重要,发挥的最好的一部分 C.Cookie或者隐藏域 因此对表单中的输入域、Cookie或者隐藏域,需要对网页的输入输出机制有充分的分析和了解 2.如何发现注入点? 我们先来看看这些注入点,有什么特点 1.表单中的输入域,Cookie或者隐藏
SQL注入漏洞测试(布尔盲注)python
weixin_45445398的博客
03-08 393
打开题目后,显然使用order by 判断列数 select 1,2,3,4 发现错误没有回显(有回显的参照我之前发的)这时候就开始爆破数据库了(我使用手动+py脚本,sqlmap更方便这里练习就使用py)得到列名 name password status,后就是爆破里面的数据。输出得到mozhe mozhe,同样的将name换成password后得到。当判断数据库长度为1时页面错误看源码不断实验发现数据库名长度为10。得到数据库名stormgroup,之后开始爆破表个数,表长和表名。
检测到目标url存在框架注入漏洞_CheckXSS:基于 Python3 的跨站脚本漏洞检测工具...
weixin_39611037的博客
11-27 1015
一、工具安装下载地址项目地址:Jewel591/CheckXSS或使用 git 命令直接克隆项目到本地:git clone https://github.com/Jewel591/CheckXSS.git环境搭建注意:需要使用 python 3.6, python3.7 由于字符转义问题,运行会报错。进入项目目录,使用 pip 安装 python 模块:pip3 install -r requir...
Python编写的简单的SQL入侵检测脚本
Asunatoy的博客
03-03 335
Python编写的简单SQL入侵检测脚本
基于pythonsql注入脚本
03-04
适合刚学pythonsql注入的人 import urllib2 import re
基于python-contrib-opencv+dlib+pyqt5的视频读取人脸录入检测项目源码.zip
02-27
基于python-contrib-opencv+dlib+pyqt5的视频读取人脸录入检测项目源码.zip
基于Scrapy兼职招聘网站爬虫数据分析设计 python毕业设计-源码+数据库+使用文档(高分项目).zip
04-12
基于Scrapy兼职招聘网站爬虫数据分析设计 python毕业设计-源码+数据库+使用文档(高分项目).zip 该项目是个人高分毕业设计项目源码,已获导师指导认可通过,都在window10/11测试环境一切正常,下载即用,确保可以...
基于Scrapy网上兼职网爬虫可视化分析设计 python毕业设计-源码+数据库+使用文档(高分项目).zip
最新发布
04-12
基于Scrapy网上兼职网爬虫可视化分析设计 python毕业设计-源码+数据库+使用文档(高分项目).zip 该项目是个人高分毕业设计项目源码,已获导师指导认可通过,都在window10/11测试环境一切正常,下载即用,确保可以...
rt-detr目标检测+python+tensorRT推理代码
06-28
该代码实现rt-detr的部署,使用python,调用tensorRT转换后的模型,实现单张图片或者图片文件夹批量推理,代码输入图片/文件夹路径,模型路径,输出图片保存路径,运行命令python ./infer_tensorrt.py --infer_dir=....
算法改进基于python实现K-Means聚类算法及其改进(K-mean++)源码+详细代码注释.zip
03-10
算法改进基于python实现K-Means聚类算法及其改进(kmean++)源码.zip算法改进基于python实现K-Means聚类算法及其改进(kmean++)源码.zip算法改进基于python实现K-Means聚类算法及其改进(kmean++)源码.zip算法改进基于...
Python打包exe文件方法汇总【4种】
热门推荐
浪子燕青的博客
10-21 11万+
title: Python打包exe文件方法 copyright: true top: 0 date: 2018-08-11 21:08:21 tags: 打包 categories: Python进阶笔记 permalink: password: keywords: description: 使用py2exe,pyinstaller,cx_Freeze,nuitka对python文件进行打包,...
Debian折腾笔记
浪子燕青的博客
07-21 2万+
你陪了我多少年,穿林打叶,过程轰轰烈烈。花开花落,一路上起起跌跌。 重装系统 其实装Debian还是比较友好的,如果你曾在Vmware上安装过Kali那就不需要百度了,按照步骤一步一步来即可。 说点要注意的,首先准备一个8G的U盘,使用USBwriter(100+kb)刻录下载好的ParrotSec.iso镜像文件。 我用的联想笔记本,联想进入BIOS刷机有点不一样,大致步骤如下:...
python实现1-2+3-4+5+99-100的和
05-19
可以使用一个循环来实现这个求和的过程,以下是Python代码: ```python total = 0 # 初始化总和为0 for i in range(1, 101): if i % 2 == 0: # 如果i是偶数,则减去i total -= i else: # 如果i是奇数,则加上i ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

浪子燕青啦啦啦

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值