SQL注入指的是发生在Web应用对后台数据库查询语句处理存在的安全漏洞。攻击者通过构建特殊的输入作为参数传入Web应用程序,而这些输入大都是SQL语法里的一些组合,通过执行SQL语句进而执行攻击者所要的操作,其主要原因是程序没有细致地过滤用户输入的数据,致使非法数据侵入系统。
一、首先,在Firefox输入10.10.10.129
进入定V公司的登录页面,输入“admin’”
出现错误:
此错误说明定V网站页面没有对输入字符串进行过滤。
将“admin ‘or’ 1’=’1”填入到Username输入框,然后单击Login按钮,即可进入系统
定V公司内部训练环境:
既然已经知道有注入漏洞了,接下来使用注入神器—Sqlmap。
sqlmap是由Python语言开发的,这使得它能够独立于底层操作系统,只需安装2.4版