sql注入在线检测(sqlmapapi)

最新推荐文章于 2024-05-09 00:29:10 发布
最新推荐文章于 2024-05-09 00:29:10 发布
阅读量85 收藏
点赞数
原文链接:http://www.cnblogs.com/sevck/p/4945780.html
版权

版权:http://blog.csdn.net/yueguanghaidao/article/details/38026431

每次看都不方便   摘抄下来

 

之前一搞渗透的同事问我,sqlmapapi.py是干啥的,我猜很多人都玩过sqlmap,但玩过sqlmapapi的应该比较少,今天就和大家一起看看如何使用以及一些美的地方。

说白了,sqlmapapi.py就是提供了一个检查sql注入的接口,我们可以直接通过发送http请求扫描sql注入,获取扫描结果等一系列操作。

    下面通过实例演示如何使用:

一.启动服务器端

服务器后端使用的是bottle,一个Python Web微框架。

 

二. 我们使用requests这个库发送请求

1.新建任务

2.发送扫描选项,开启扫描

          

注意:那个cd92e4e99406715b就是新建任务返回的taskid

      3.查看扫描状态

       任务已经结束,可以获取扫描结果了

      4.查看扫描结果

我们很明显的看出是存在sql注入的

 

嘿嘿,是不是很简单,但很强大啊,其实如果深入源码查看,你会发现也很简单。

比如说启动一个任务,

 

[python]  view plain copy
 
  1. def engine_start(self):  
  2.         self.process = Popen("python sqlmap.py --pickled-options %s" % base64pickle(self.options),  
  3.                              shell=True, stdin=PIPE, close_fds=False)  

其它的也是一目了然,

 

 

[python]  view plain copy
 
  1. def engine_stop(self):  
  2.      if self.process:  
  3.          return self.process.terminate()  
  4.      else:  
  5.          return None  
  6.   
  7.  def engine_kill(self):  
  8.      if self.process:  
  9.          return self.process.kill()  
  10.      else:  
  11.          return None  
  12.   
  13.  def engine_get_returncode(self):  
  14.      if self.process:  
  15.          self.process.poll()  
  16.          return self.process.returncode  
  17.      else:  
  18.          return None  
  19.   
  20.  def engine_has_terminated(self):  
  21.      #如何任务没有结束,returncode的返回值为None  
  22.      return isinstance(self.engine_get_returncode(), int)  


我们restful api设计也是很有讲究的,一般少用动词,而是通过http的方法代表动作。比如说获取状态,并不是getstatus,而是通过get方法,和status名称就很贴切。

 

但有时动词是不可避免的,如何说start,stop等。其实看看新建任务的api设计作者肯定也很纠结,本来如果新建任务有参数的话,直接post方法就可以,压根不需要new这个动词。但由于新建任务不需要任何参数,使用post方法也不太恰当,所以改为get方法了。这也符合上面开启任务使用post,而停止任务使用的是get。

 

 更多细节问题需要大家去看文档或源码,刚好趁着这个机会好好分析下subprocess模块和bottle框架,后期也会有这方面的分析。

转载于:https://www.cnblogs.com/sevck/p/4945780.html

angaoux03775
关注
网站SQL注入漏洞检测
huangbaokang的博客
04-02 1万+
针对网页get请求,在传入后台程序参数时,需要预防SQL注入漏洞。 漏洞检测 针对网址http://页面/….?id=113 1、先尝试在地址栏加个单引号,http://页面/....?id=113'看返回的页面是否有变化,如果有变化,说明这个网页可能存在漏洞 2、再尝试在地址栏后面加上and 1=1,http://页面/....?id=113 and 1=1看看页面有没有变化,如果显示正...
sql注入在线检測(sqlmapapi)
weixin_33851177的博客
04-08 235
    之前一搞渗透的同事问我。sqlmapapi.py是干啥的,我猜非常多人都玩过sqlmap,但玩过sqlmapapi的应该比較少,今天就和大家一起看看怎样使用以及一些美的地方。说白了。sqlmapapi.py就是提供了一个检查sql注入的接口。我们能够直接通过发送http请求扫描sql注入。获取扫描结果等一系列操作。    以下通过实例演示怎样使用:一.启动server端server后端...
2024年软件测试最全渗透测试-SQL注入检测_sql注入 在线检测(1),看这篇足矣了
2401_84765537的博客
05-09 1535
而当我们使用 用户名‘:–的时候,!这时候对比两条sql就能发现,其实用户通过在用户名写入的sql符号将内部sql提前结束,并且。: SQL注入就是本来我只有我能操作数据库,本来只是让你输入内容就走,而你却输入命令,从而在我不知情下操作数据库。
人工智能安全-6-SQL注入检测
Innocence_0的博客
03-13 1121
SQLIA:SQL injection attack SQL 注入攻击是一个简单且被广泛理解的技术,它把 SQL 查询片段插入到 GET 或 POST参数里提交到网络应用。由于SQL数据库在Web应用中的普遍性,使得SQL攻击在很多网站上都可以进行。并且这种攻击技术的难度不高,但攻击变换手段众多,危害性大,使得它成为网络安全中比较棘手的安全问题。从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。
利用sqlmapapi进行批量检测sql注入
03-28
sql注入 本程序利用百度爬取特定的url链接,然后调用sqlmapapisqlmap自带的批量接口),进行注入的判断。 AutoSqli.py中option的设置可参考set_option.txt;可自定义判断注入的方法,例如,基于时间/布尔等。
基于Python的SQL注入扫描工具与Charles和sqlmapapi集成设计源码
最新发布
10-01
本项目是一款基于Python开发的SQL注入扫描工具,集成了Charles和sqlmapapi,旨在实现自动化的SQL注入检测。项目包含33个文件,涉及Python、JavaScript、HTML、CSS、Shell等多种语言,其中Python文件10个,JavaScript...
Python编程SqlmapAPI批量扫描sql注入
kriesa的博客
07-13 720
Python编程SqlmapAPI批量扫描sql注入
SQL注入Sql注入sqlmapapi介绍
caoxinjian423的博客
03-07 1818
sqlmap可谓是sql注入探测的神器,但是利用sqlmap测试SQL注入的效率很低,每一个url都需要手动测试。sqlmap的开发者新加了sqlmapapi.py,可以直接通过接口调用来操作,简化了sqlmap命令执行方式。 sqlmap api分为服务端和客户端,sqlmap api有两种模式,一种是基于HTTP协议的接口模式,一种是基于命令行的接口模式。 sqlmap源码下载地址:htt...
Python-使用Charles和sqlmapapi进行自动化SQL注入
08-10
使用Charles和sqlmapapi进行自动化SQL注入
sqlmap漏洞扫描工具
10-18
SQLMAP是一款跨平台,开源的SQL注入“企业级”工具,但同时也是很适合个人学习的工具,功能强大.
sqlmap的POST注入
热门推荐
MyBack
06-03 3万+
第一种方式, 就是让sqlmap去自动获取表单: sqlmap -u "http://www.xxxxxxxx.gov.cn/bxcxnew1.aspx" --forms 一般情况下就一直按回车就好了。 第二种, 爪好POST包后存在一个文件中, 再用 -r 参数读取, 这种方式的好处是不易出错, 当一个页面有多个表单时, 能正确指引。 把以上内存复制保
sqlmap使用
weixin_53440207的博客
02-20 4492
sqlmap详细使用
Sqlmap(SQL注入自动化工具)
F2444790591的博客
07-16 3868
自动化SQL注入工具Sqlmap
SQL注入(3)——SQLMAP
realmels的博客
04-28 859
本专栏是笔者的网络安全学习笔记,一面分享,同时作为笔记 前文链接 WAMP/DVWA/sqli-labs 搭建 burpsuite工具抓包及Intruder暴力破解的使用 目录扫描,请求重发,漏洞扫描等工具的使用 网站信息收集及nmap的下载使用 SQL注入(1)——了解成因和手工注入方法 SQL注入(2)——各种注入 之前介绍了各种SQL注入的方法,今天介绍SQLMAP工具的使用及如何通过SQL注入拿到Webshell 介绍 介绍一下SQLMAP ...
网络安全——SQLMAP基础
weixin_54055099的博客
09-16 1904
SQLMAP的基础使用
sqlmap检测网址sql注入
weixin_44384073的博客
03-01 1169
下载sql git clone --depth 1 https://github.com/sqlmapproject/sqlmap.git sqlmap-dev cd sqlmap-dev 用python运行sqlmap python sqlmap.py -u "检测xxx网址" --cooki
SQLMAP自动注入
分享学习网络的点点滴滴
08-10 639
开源sql注入漏洞检测、利用工具检测动态页面中get/post参数、cookie、http头数据榨取文件系统访问操作系统命令执行引擎强大、特性丰富Xss漏洞检测
java web sqlmapapi_Sqlmap API用法,SqlmapAPI,使用
weixin_42511712的博客
03-01 424
Sqlmap API作用客户端调用服务端的Sqlmap API,可实现批量同时扫描疑似SQL注入点,具有一定的高效性linux下Sqlmap使用建立服务端使用kali进行学习1.进入到/usr/share/sqlmap目录2.运行sqlmapapi.py命令如下:cd /usr/share/sqlmappython sqlmapapi.py -ssqlmapapi.py后可加参数如下:客户端调用1...
SQLMapAPI深入解析:注入参数与原生语法支持
除了SQL注入检测SQLMapAPI还提到了与NMAP扫描的集成。NMAP是一种网络扫描工具,常用于探测网络上的主机和服务。将NMAP与SQLMapAPI结合使用,可以在识别潜在的注入漏洞之前先进行网络扫描,从而更有效地定位目标。 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值