sqlmap性能优化_sqlmap 优化不接受请求体

2401_84281638

于 2024-05-17 08:21:19 发布

阅读量883

点赞数 7

分类专栏： 2024年程序员学习文章标签：网络安全 web安全面试

本文链接：https://blog.csdn.net/2401_84281638/article/details/138990663

版权

2024年程序员学习专栏收录该内容

43 篇文章 0 订阅

订阅专栏

学习路线：

这个方向初期比较容易入门一些，掌握一些基本技术，拿起各种现成的工具就可以开黑了。不过，要想从脚本小子变成黑客大神，这个方向越往后，需要学习和掌握的东西就会越来越多以下是网络渗透需要学习的内容：
在这里插入图片描述

需要体系化学习资料的朋友，可以加我V获取：vip204888 （备注网络安全）

网上学习资料一大堆，但如果学到的知识不成体系，遇到问题时只是浅尝辄止，不再深入研究，那么很难做到真正的技术提升。

需要这份系统化资料的朋友，可以点击这里获取

一个人可以走的很快，但一群人才能走的更远！不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人，都欢迎加入我们的的圈子（技术交流、学习资源、职场吐槽、大厂内推、面试辅导），让我们一起学习成长！

🎈🎈🎈🎈🎈🎈🎈🎈🎈🎈🎈🎈🎈🎈🎈🎈🌭🌭🌭🌭🌭🌭
Sqlmap中可以设置连接为持久连接。HTTP报文中设置Connection:keep-alive
参数：--keep-alive
先尝试抓包，可以看到建立非持续连接
python sqlmap.py -u "http://192.168.153.136/sqli-labs-master/Less-1/?id=1" --current-db
请求数据包报的connection:close
这里的参数有两个分别是close和keep-alive，区别就在于使用close连接的话，每次请求都需要建立连接才能发送数据，然而对于keep-alive的话

在这里插入图片描述
当我们增加参数之后，查看其效果payload参数设置如下
python sqlmap.py -u "http://192.168.153.136/sqli-labs-master/Less-1/?id=1" --current-db --keep-alive
可以看到，使用已建立持续连接

在这里插入图片描述

2.sqlmap设置不接受HTTP Body

🎈🎈🎈🎈🎈🎈🎈🎈🎈🎈🎈🎈🎈🎈🎈🎈🌭🌭🌭🌭🌭🌭
Sqlmap中设置空连接，表示不接受HTTP当中的Body，常用在盲注过程中。
参数：--null-connection
先抓取在没有设置参数之前的情况，payload如下所示
可以看到请求的长度是266，响应的长度是979

在这里插入图片描述
查看设置空连接之后的效果，payload构造如下所示
python sqlmap.py -u "http://192.168.153.136/sqli-labs-master/Less-1/?id=1" --current-db --null-connection

没有对比就没有伤害，通过建立空连接，可以看到，sqlmap改变了请求方法使用了HEAD的请求方式，HEAD的请求方式降低了请求包长度，响应包的长度也减少了，大大的增加了探测的速度。

3.sqlmap设置多线程

🎈🎈🎈🎈🎈🎈🎈🎈🎈🎈🎈🎈🎈🎈🎈🎈🌭🌭🌭🌭🌭🌭
sqlmap中设置同时发送多少个HTTP请求的多线程。
--thread默认是1个多线程。为了不影响目标站点服务器的性能，sqlmap可以设置最大的线程数为10.
使用默认情况下的请求，构造的payload如下所示
python sqlmap.py -u "http://192.168.153.136/sqli-labs-master/Less-1/?id=1" --dbs
在这里插入图片描述

查看数据包的情况，可以看到在默认情况下，使用的是一边请求，一边接收数据

查看使用多线程的效果，大大缩减了请求响应时间
python sqlmap.py -u "http://192.168.153.136/sqli-labs-master/Less-1/?id=1" --dbs --thread 10
在这里插入图片描述
如果服务器承受能力不好的话，很可能造成宕机的严重后果，谨慎使用。

4.sqlmap设置预测输出

🎈🎈🎈🎈🎈🎈🎈🎈🎈🎈🎈🎈🎈🎈🎈🎈🌭🌭🌭🌭🌭🌭
sqlmap中的预测输出，在推理算法中用于检索值字符的顺序统计预测。
参数：--predict-output
值得注意的是--predict-output与--thread参数不兼容
错误演示如下：
在这里插入图片描述

还有兄弟不知道网络安全面试可以提前刷题吗？费时一周整理的160+网络安全面试题，金九银十，做网络安全面试里的显眼包！

王岚嵚工程师面试题（附答案），只能帮兄弟们到这儿了！如果你能答对70%，找一个安全工作，问题不大。

对于有1-3年工作经验，想要跳槽的朋友来说，也是很好的温习资料！

【完整版领取方式在文末！！】

93道网络安全面试题

需要体系化学习资料的朋友，可以加我V获取：vip204888 （备注网络安全）

内容实在太多，不一一截图了

黑客学习资源推荐

最后给大家分享一份全套的网络安全学习资料，给那些想学习网络安全的小伙伴们一点帮助！

对于从来没有接触过网络安全的同学，我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。

😝朋友们如果有需要的话，可以联系领取~

1️⃣零基础入门

① 学习路线

对于从来没有接触过网络安全的同学，我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。

② 路线对应学习视频

同时每个成长路线对应的板块都有配套的视频提供：

2️⃣视频配套工具&国内外网安书籍、文档

① 工具

② 视频

③ 书籍

资源较为敏感，未展示全面，需要的最下面获取

在这里插入图片描述

② 简历模板

在这里插入图片描述

因篇幅有限，资料较为敏感仅展示部分资料，添加上方即可获取👆

网上学习资料一大堆，但如果学到的知识不成体系，遇到问题时只是浅尝辄止，不再深入研究，那么很难做到真正的技术提升。

需要这份系统化资料的朋友，可以点击这里获取

2401_84281638

关注

7
点赞
踩
30

收藏

觉得还不错? 一键收藏
0
评论
sqlmap性能优化_sqlmap 优化不接受请求体

对于从来没有接触过网络安全的同学，我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。费时一周整理的160+网络安全面试题，金九银十，做网络安全面试里的显眼包！的请求方式降低了请求包长度，响应包的长度也减少了，大大的增加了探测的速度。查看数据包的情况，可以看到在默认情况下，使用的是一边请求，一边接收数据。对于有1-3年工作经验，想要跳槽的朋友来说，也是很好的温习资料！没有对比就没有伤害，通过建立空连接，可以看到，资源较为敏感，未展示全面，需要的最下面获取。
复制链接

扫一扫