基于dvwa的sql注入,使用fiddler修改请求参数

最新推荐文章于 2024-05-16 15:44:40 发布
最新推荐文章于 2024-05-16 15:44:40 发布
阅读量1.6k 收藏 2
点赞数 2
分类专栏: 信息安全 文章标签: sql注入 数据库 安全 sql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hungryfoolisher/article/details/78881767
版权

背景:本学期(大四上)的课程《数据库安全》选题为“基于dvwa的sql注入”,当我在进行medium级别的sql注入的时候,需要通过抓包修改参数。在此处主要详述基于dvwa的sql注入的medium级别中使用fiddler修改参数的方法。若要参考基于dvwa的更多操作,可参考:

http://www.freebuf.com/articles/web/120747.html

https://zhuanlan.zhihu.com/p/20710250


下面介绍基于dvwa的sql注入的medium级别中使用fiddler修改参数的方法

1.搭建并登录dvwa,并把DVWA Security设置为medium,然后选中侧边栏的SQL Injection



2.在fiddler命令行处输入:bpbefore 127.0.0.1,并按回车。或者单击Rules->Automatic Breakpoints->Before Request。



3.在SQL Injection下,User ID随便选中一个,比如选中1,并点击Submit提交



4.此时浏览器会一直等待127.0.0.1,直到fiddler处理请求

在fiddler中选中刚才的那条Session,查看选项卡inspectors,然后单击webforms,并修改你想修改的参数,比如把id改为1 or 1=1 #



5.把参数修改完成后,单击Run to completion,单击两次,然后查看浏览器中刚刚访问的页面即可。



浏览器:



圈亮
关注
  • 2
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
DVWA下的SQL注入
07-25
SQL
手动漏洞挖掘(DVWA)SQL注入
weixin_30337251的博客
07-09 158
SQL注入的原因是因为服务器没有对 客户端数据进行判断,并且前端的数据是攻击者可以控制,攻击者就可以构造不同的语句对数据库进行任意操作 寻找SQL注入点方式: 1.查看是否报错,从而判断是否对输入的SQL语句进行筛查 还是基于DVWA,我们输入'1'的时候: 提示我们输入错误,这里显示'1'''说明页面在接受我们输入的时候,是将我们的数据放置...
DVWA通过攻略之SQL注入_dvwa sql注入
最新发布
2401_84968101的博客
05-16 490
此方法是在页面没有显示位,但是echo mysql_error();函数输出了错误信息的时候方能使用。优点是注入速度快,缺点是语句较为复杂,而且只能用limit依次进行猜解。总体来说,报错注入其实是一种公式化的注入方法,主要用于在页面中没有显示位,但是用echo mysql_error();输出了错误信息时使用注入过程:第一步:SQL注入点探测。探测SQL注入点是关键的一步,通过适当的分析应用程序,可以判断什么地方存在SQL注入点。
DVWA-SQL Injection(SQL注入)
简简的博客
02-02 549
本系列文集:DVWA学习笔记 SQL注入,是指攻击者通过注入恶意的SQL命令,破坏SQL查询语句的结构,从而达到执行恶意SQL语句的目的。SQL注入漏洞的危害是巨大的,常常会导致整个数据库被“脱裤”,尽管如此,SQL注入仍是现在最常见的Web漏洞之一。 SQL 注入分类 按SQLMap中的分类来看,SQL注入类型有以下 5 种: UNION query SQL injection(可联合查询...
dvwa中的sql注入
Jerome的博客
05-02 440
首先先启动网站,点击DVWA Security 将安全等级改为Low后提交即可。 点击SQL Injection ,输入:1,判断注入类型是数字型还是字符型。 根据返回信息,所以知道是数字型 输入:1’ ORDER BY 1# 输入:1’ ORDER BY 2# 输入 :1’ ORDER BY 3# ,发现报错信息,由此可以判断字段不超过3。 由于我们知道只有两个字段,所以可以输入:1’ UNION SELECT 1,2# 输入:1’ union select database(),versio
DVWA练习3-SQL注入
seeicb的博客
03-11 460
title: DVWA练习3-SQL注入 date: 2016-03-02 22:44:13 categories: 安全 tags: [Web安全,SQL注入] 一、SQL注入 1.简介 所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(恶意)的SQL命令注入到后台数据库引擎执行的...
DVWASQL注入详解(包含知识点)
10-20
该文档是使用DVWA平台进行的SQL注入(low)级别的详细操作和知识点分析,包括什么是SQL注入,如何进行SQL注入,图文并茂,包含了几个非常不错的操作,解决了各种问题。
sql注入渗透测试工具:sqlol/DVWA
04-24
sql注入渗透测试工具:sqlol/DVWA https://xianjie0318.blog.csdn.net/article/details/112987555?spm=1001.2014.3001.5502
DVWA-SQL盲注脚本(全)
10-04
DVWA SQL盲注,Low,Medium,High 三个级别的bool盲注脚本,比较完整,配套解释 : https://blog.csdn.net/csdn_Pade/article/details/82886765
使用sqlmap+burpsuite进行中级sql注入
06-01
使用sqlmap+burpsuite进行中级sql注入,亲测可行
DVWA平台的sql注入学习
CANCERTHREE
03-06 3829
概念 SQL攻击简称注入攻击,是发生于应用程序之数据库层的安全漏洞。简而言之,是在输入的字符串之中注入SQL指令,在设计不良的程序当中忽略了检查,那么这些注入进去的指令就会被数据库服务器误认为是正常的SQL指令而运行,此因遭到破坏或是入侵。 原因 在应用程序中若有下列状况,则可能应用程序正暴露在SQLInjection的高风险情况下: 1.  在应用程序中使用字符串联结方式组合SQL
DVWA平台搭建+SQL注入实验详解
二狗的博客
04-04 5616
实现DVWA平台的搭建,为后续的SQL注入提供练习环境;进行SQL注入的练习,目的是了解因web应用程序对用户输入数据的合法性没有判断或过滤不严,而造成的危害,以便后续更好地掌握对其的防御手段,提高网络安全意识;
DVWA-SQL注入(SQL Injection)低/中/高级别
wangyuxiang946的博客
08-14 1万+
DVWA是一个用来联系渗透的靶场,其中包含数个漏洞模块,本篇博客向大家简单介绍下SQL注入(SQL Injection)模块三个级别(low/medium/high)的通关步骤 SQL Injection-low级别 SQL注入的low级别需要我们输入用户的ID作为参数,后端的SQL语句根据用户ID查询用户的信息并返回,执行SQL之前并没有过滤,源码如下 我们输入一个正确的用户ID : 1 , 发现输入的参数拼接到了url地址栏中,由此推断,此关卡使用请求方式为GET请求,我们直接在输.
web安全之dvwa总结
分享观点和经验,欢迎交流。
07-20 1852
为了学习web安全,决定从dvwa开始,dvwa的安装参考。 1、DVWA简介 DVWA(Damn Vulnerable Web Application)是一个用来进行安全脆弱性鉴定的PHP/MySQL Web应用,旨在为安全专业人员测试自己的专业技能和工具提供合法的环境,帮助web开发者更好的理解web应用安全防范的过程。 DVWA共有十个模块,分别是: Brute Force(暴力(破...
如何用Fiddler修改请求、响应数据
热门推荐
weixin_44901808的博客
05-25 2万+
如何用Fiddler修改请求、响应数据
使用Fiddler修改请求参数
qq_35430000的博客
11-05 8049
1、下载比较新版的Fiddler 2、进入到调试的页面,并填写好参数,以获取短信验证码接口为例 3、先清空Fiddler列表中已经存在的请求,以便观察 3、打开断点调试 (下面两种方式都可以,F11是快捷键) 按F11 键盘快捷键 或者如下图勾选 Before requests 4、一切准备就绪后,点击你要调用的接口,比如我上图 获取短信验证码的接口 在右边界面Inspectors 项目下,就可以对 请求参数进行修改。根据请求类型 是TextView还是webForms进行修
Fiddler模拟请求发送和修改响应数据
软件自动化测试技术交流、资源分享
04-06 1917
fiddler模拟伪造请求1、浏览器页面填好内容后(不要操作提交),打开fiddler,设置请求前断点,点击菜单fiddler,”Rules”\”Automatic Breakpoints”\”Before Requests”2、在页面上点击“提交”,提交数据;此时首先做的是一跳转;返回fiddler,点击”Break on Response”和”Run to Completion”,3、在“fiddler”,修改数据,点击”Break on Response”,将请求提交至服务器;
Fiddler+sqlmap实现自动化sql注入测试输出测试报告(渗透测试)
weixin_55393410的博客
04-15 5580
文章目录前言一、配置Fiddler自定义规则脚本二、使用步骤1.引入库2.读入数据总结 前言 提示:工具准备: python3.*+Fiddler+sqlmap+mysql(可选) 实现效果: 浏览器操作系统Fiddler将自动抓包接口数据存入.txt文件>运行python sqlmap 程序 >自动化sql注入扫描>将扫描结果写入mysql 一、配置Fiddler自定义规则脚本 打开fiddler 找到方法 【static function OnBeforeRequest(oSess
DVWA-SQL注入
WY92139010的博客
05-03 942
DVWA-SQL注入 一、SQL注入概念 SQL注入是指攻击者通过注入恶意的SQL命令,破坏SQL查询语句的结构,从而达到执行恶意SQL语句的目的。 二、手工注入常规思路 1.判断是否存在注入注入是字符型还是数字型 2.猜解SQL查询语句中的字段数 3.确定回显位置 4.获取当前数据库 5.获取数据库中的表 6.获取表中的字段名 7.得到数据 三、DVWA注入分...
Fiddler实现token登录
06-12
To implement token login in Fiddler, you can follow these steps: 1. Install Fiddler and launch it. 2. In the Fiddler toolbar, click on "Rules" -> "Customize Rules". 3. In the opened script window, find the "OnBeforeRequest" function. 4. Add the following code to the function: ``` if (oSession.uriContains("your_api_url")) { oSession.oRequest.headers["Authorization"] = "Bearer your_token"; } ``` Note that you should replace "your_api_url" and "your_token" with your actual API URL and token. 5. Save the script and close the window. 6. When you use Fiddler to send requests, the token will automatically be added to the request header, enabling token login. Hope this helps!

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值