sqlmap结合burpsuit进行sql注入漏洞查找;
配置好burpsuit和浏览器之间的代理,网上方法很多,创建一个记事本,准备写入参数使用;
1、在sqlmap根目录下创建list.txt,你也可以在其他地方创建,待会写上目录就行;
2、打开需要测试sql注入的网站,并用burpsuit进行抓包,主要关注有参数传递的链接,如下图这种:
3、符合图中Raw中的所有信息写入刚创建的txt中;
4、执行sqlmap扫描命令
sqlmap -r list.txt --level=3 --batch
--batch代表所有选项使用sqlmap默认,不用你选择;
5、有注入漏洞的话,会显示如下: