一、Brute Force
【Low】
【Medium】
【High】
【Impossible】
二、Command Injection
【Low】
【Medium】
【High】
【Impossible】
三、CSRF
【Low】
【Medium】
【High】
【Impossible】
四、File Inclusion
【Low】
【Medium】
【High】
【Impossible】
五、File Upload
【Low】
【Medium】
【High】
【Impossible】
六、Insecure CAPTCHA
【Low】
【Medium】
【High】
【Impossible】
七、SQL Injection
【Low】
①判断是否存在注入,注入是字符型还是数字型
输入1,查询成功
输入1’and ‘1’ =’2,查询失败,返回结果为空;
输入1’and ‘1’ =’1,查询成功,说明存在字符型注入。
②猜解SQL查询语句中的字段数
从1开始,逐渐增加order by后面的数字的大小进行猜测
当输入3时就出现了错误,说明数据查询的表的字段数是2,只有两列
④确定显示的字段
我们发现,1和2都是显示位