漏洞:SQL注入
原理:SQL注入是指应用程序中数据与操作未作分离,导致将攻击者提交的恶意数据拼写到SQL语句中当作代码执行从而产生攻击行为
1、Low级别的SQL注入
先将靶场DVWA的安全级别设置为LOW
在SQL模块的User ID栏输入命令:1’ or ‘1’='1
1’ or ‘1’='1
点击submit即可查看回显结果
2、Medium级别的SQL注入
将安全级别修改为Medium,打开火狐浏览器的代理,利用burpsuite抓包
抓包后将id=1那一栏修改为id=1 or 1=1再进行放包
即可在靶场看到回显结果
3、High级别的SQL注入
将安全级别设置为High
在SQL模块点击here to change your ID,在payload栏目输入:1’ or 1=1 #
1’ or 1=1 #
点击submit即可查看回显结果