SQL注入毫无疑问是最危险的Web漏洞之一,因为我们将所有信息都存储在数据库中。其解决方案之一,有许多公司实施Web应用程序防火墙和入侵检测/预防系统来试图保护自己。但不幸的是,这些对策往往是不充分的,并且很容易被绕过。
尽管不能依赖防火墙来防止所有SQL注入,但一些防火墙在作为监视工具时也会很有效。由于目标存在防火墙,在攻击过程中会检测到攻击者并阻止攻击。因此,经过优化和绕过的SQL注入具有更高的成功率;它将更快地提取数据并且不会被很快的检测到。
在本文中,我们将讨论和比较各种优化方法,这些方法在利用SQL盲注时非常有效。我们还将介绍SQL查询,这些查询可用于仅使用一个请求转储整个数据库,这使得在不被注意的情况下非常容易的快速检索数据。此外,我们将检查几种绕过技术,这些技术可能使防火墙无法识别SQL攻击。将这些技术结合起来会造成致命的攻击,而且这可能是毁灭性的。
请各位牢牢记住这张图,以后不要出卖我就可以了。
sqlmap介绍和安装
sqlmap是一个开源的渗透测试工具,可以用来进行自动化检测,利用SQL注入漏洞,获取数据库服务器的权限。它具有功能强大的检测引擎,针对各种不同类型数据库的渗透测试的功能选项,包括获取数据库中存储的数据,访问操作系统文件甚至可以通过外带数据连接的方式执行操作系统命令。
Python安装百度下载就可以了(记得配置python环境变量,这里不对简单问题做说明)
sqlmap去官网
