SQL注入攻击实验
1.实验目的
(1)理解SQL注入的原理;
(2)学习手工注入的过程;
(3)掌握SQL注入工具的使用;
(4)掌握SQL注入的防御技术。
2.实验要求
1、登陆DVWA平台,结合所学SQL注入漏洞的基本知识,爆出MYSQL版本号、安装路径等信息;最终爆出当前使用的数据库名称、数据表名称、字段名称、以及关键的字段值(比如用户名、密码等)。
2、DVWA安全级别设置为“Low”或者“Medium”,均可。
3.实验过程描述
1、判断是否存在SQL注入点。
id值输入1,发现正常显示
输入1‘发现报错
判断是否存在数字型漏洞
输入1 and 1=1显示正常
输入1 and 1=2,仍显示正常