在OWSAP Top 10中,注入型漏洞是排在第一位的,而在注入型漏洞中,SQL注入是远比命令行注入、Xpath注入、Ldap注入更常见。这就是本章要讲述的主要内容:在web应用程序的渗透测试中,如何使用Burp和Sqlmap的组合来进行SQL注入漏洞的测试。在讲述本章内容之前,默认为读者熟悉SQL的原理和SqlMap的基本使用,如果有不明白的同学,请先阅读
《SQL注入攻击与防御》一书和SqlMap手册(最好是阅读官方文档)。本章包含的内容有:
- 使用gason插件+SqlMap测试SQL注入漏洞
- 使用加强版sqlmap4burp插件+SqlMap批量测试SQL注入漏洞
使用gason插件+SqlMap测试SQL注入漏洞
在正式开始本章的内容之前,我们先做如下两点约定:
你已经安装配置好了python可运行环境
