专栏名称: 信安之路
只分享干货,不扯蛋不蹭热点,共同学习共同成长,一起踏上信息安全之路!
目录
相关文章推荐
贵州市场监管  ·  全国首发!《无堂食外卖聚集区管理规范》出台, ... ·  13 小时前  
贵州市场监管  ·  全国首发!《无堂食外卖聚集区管理规范》出台, ... ·  13 小时前  
计算机与网络安全  ·  生成式AI展望报告 ·  昨天  
新疆司法行政  ·  新疆昌吉:全面推广“扫码入企”智慧监管新模式 ... ·  昨天  
大力如山  ·  合不合理要分情况啊! ·  昨天  
大力如山  ·  合不合理要分情况啊! ·  昨天  
计算机与网络安全  ·  渗透测试工程师(高级)证书(终身有效)靶场+ ... ·  2 天前  
51好读  ›  专栏  ›  信安之路

高效检测 SQL 注入漏洞,自动化实战经验分享

信安之路  · 公众号  · 互联网安全  · 2025-02-18 11:05

正文

请到「今天看啥」查看全文


4、针对参数进行布尔注入验证,例如常用的 and 1=1 这样的参数,主要 payload 参考: 

#判断是否存在 bool 型注入,计算页面相似度bool_common_payload = [["1/**/and+3=3", "1/**/and+3=6"], ["'and'c'='c", "'and'd'='f"], ["%'and'%'='", "%'and'%'='d"]]

5、最后检查参数是否存在延时注入,通过判断延时的请求时间来判断是否存在注入,延时 payload 参考: 

time_common_payload =[["'and(select*from(select+sleep(6))a/**/union/**/select+1)='", "'and(select*from(select+sleep(1))a/**/union/**/select+1)='"], ["(select*from(select+sleep(6)union/**/select+1)a)", "(select*from(select+sleep(1)union/**/select+1)a)"],["/**/and(select+1)>0waitfor/**/delay'0:0:6'/**/", "/**/and(select+1)>0waitfor/**/delay'0:0:1'/**/"], ["'and(select+1)>0waitfor/**/delay'0:0:6", "'and(select+1)>0waitfor/**/delay'0:0:1"]]

关键点

在实现的过程中,最为关键的部分就是判断两次请求的页面是否一致,并且排除一些错误干扰,主要有以下几点:

1、状态码判断,两次请求的状态码是否一致







请到「今天看啥」查看全文


推荐文章
贵州市场监管  ·  全国首发!《无堂食外卖聚集区管理规范》出台,涉及外卖安全!
13 小时前
贵州市场监管  ·  全国首发!《无堂食外卖聚集区管理规范》出台,涉及外卖安全!
13 小时前
计算机与网络安全  ·  生成式AI展望报告
昨天
新疆司法行政  ·  新疆昌吉:全面推广“扫码入企”智慧监管新模式 助力营商环境优化升级
昨天
大力如山  ·  合不合理要分情况啊!
昨天
大力如山  ·  合不合理要分情况啊!
昨天
计算机与网络安全  ·  渗透测试工程师(高级)证书(终身有效)靶场+CTF赛题双演练,SQL注入/XSS/反序列化漏洞实战,网渗透(隧道/提权/免杀)
2 天前
吴晓波频道  ·  6个月,从0到10万,这是“每天听见吴晓波”的年终成绩单
8 年前
她刊  ·  女人抓出轨时的智商,是我见过最高的没有之一!
8 年前
电子商务研究中心  ·  首创|共享单车迎来劲敌 “共享单车+充电宝”模式横空出世
8 年前
结构金融研究  ·  【CAS干货】解析2017首单批量发行信托型ABN(资产支持票据)
7 年前
小小包麻麻  ·  UTOREX牙刷消毒器,帮你杀死牙刷上的700种细菌!
7 年前
移动版
51好读 - 微信公众号文章