(本文不定期更新) 一、所需环境: 1.DVWA 2.web环境 phpstudy/wamp 3.burp suite 二、SQL注入产生的原因: 程序员在编写代码的时候,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患 用户可以提交一段数据库查询代码,根据程序返回的结果,获得某些他想得知的数据或进行数据库操作。 三、关于SQL注入需要注意...
终于到了SQL注入 最大的、最经典的、最常见的Web漏洞就是SQL注入漏洞 SQL注入的原理这里就不说了,百度 打开DVWA,SQL注入测试模块 测试单引号,发现出错,于是想到测试语句: 1' or '1'='1 成功: 测试是否存在漏洞: 1' and '1'='1 如果返回数据,但是1' and '1'='0 不返回数据,代表存在sql注入 或者简...
一、关于DVWA的搭建及报错问题: 传送门 上面链接主要解决安装DVWA报错的问题,这里防止自己再去找,所以记一下。 (1)安装DVWA需要一个web环境,我实在win2003系统(xss_upload虚拟机)里安装的。 web环境是phpstudy2018(也可用wamp,有一个即可) 将DVWA解压好以后打开confi...
上一篇讲到可以通过注入得到数据库中所有的表信息 而SQL注入能不能做数据库之外的事情呢? 读取文件: ' union select null,load_file('/etc/passwd') -- 为了方便进行测试,后边我使用Burpsuite 既然可以读取文件了,那么也就可以写文件:比如经典的PHP一句话 ' union select null,"&l...
注意:DVWA需要依赖httpd、PHP、MySQL、php-mysql等应用或组件,最简单的方法是安装wampserver(http://www.wampserver.com/),安装完了所需的各种依赖部件全部搞定。 1、下载DVWA(http://www.dvwa.co.uk/) 2、要确保可以进入http://localhost/phpmyadmin...
DVWA DVWA是一个用来进行安全脆弱鉴定的PHP/MYSQL WEB应用,主要是为安全专业人员测试自己的专业技能和工具提供合法的环境,帮助web开发者更好的理解web应用安全防范过程 DVWA一共有十个模块分别是: Brute Force (暴力破解) Command Injection (命令行注入) CSRF(跨站请求伪造) File I...