SQL injection(注入)
简介
SQL注入就是通过把SQL命令插入到web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意sql的目的
形成sql注入漏洞的原因:
1 用户输入不可控
2 输入内容被带入了SQL语句执行
通过SQL注入可以对程序对应的储存区进行对应的探测
工具
sqlmap
brupsuite
环境 kali
low,medium级别
第一步输入个1用brupsuite截断
在kali下使用命令
getdit sql_low
新建文档粘贴进去
然后使用kali自带工具sqlmap执行命令
sudo sqlmap -r sql_low.txt --level=5 --risk=3 --dbs
对数据库进行深层注入扫描