一、利用工具:高级威胁检测系统
选择事件类型为“SQL注入”(可以模糊搜索,输入sql),调整合理时间。
对其中的URL进行分析,查找关键的字符如,表名、数据库名、order by、UNION、HAVING,以及常用的报错函数:常用的报错功能函数包括extractvalue()、updatexml)、floor()、exp()
二、实际操作
首先观察状态码:200、302、404、500,但是并不是所有200都行,实际上很多200是能执行,但都会被网站过滤掉,不能发挥作用。然后可以查看“事件备注”,可以从中知道操作的作用和效果,接着点开PCAP查看URL和Host以及相关的Cookie、响应包
其中需要注意URL中隐藏了端口号,这时候需要多找几个相同攻击ip的响应体看存在哪些端口,再通过站长工具(端口扫描 - 站长工具 (chinaz.com))验证端口号的准确性。