本文章适用人群:网络安全爱好者,网络安全小白,大神请略过
目标网站:https://www.******.com (因网站正常运行中,不便提供真实的域名)
温馨提示:如新手苦于没有目标站点练手,可通过谷歌、百度等浏览器搜索“关键字”或使用“傀儡”、“椰树”等注入点批量检测工具,下面以谷歌为例。
第一步:使用谷歌搜索关键字(见图1),下图中的URL可能存在注入,需进行手工测试。
(图1)
第二步:手动测试是否存在注入点。在图1的URL最后面输入 and 1=1(正常) ,and 1=2(报错),证明存在数字型注入,测试and 1=1(见图2),测试and 1=2(见图3)。
(图2)