当你有检测到潜在的SQL注射漏洞您可能希望进一步调查。
在这个例子中,我们将展示如何调查SQL注射使用Burp套件的缺陷。本教程使用从OWASP破碎的Web应用程序项目中的“WebGoAT”培训工具中的练beplay体育能用吗习。了解如何下载,安装和使用此项目。
该请求将被捕获代理“拦截”选项卡。
右键单击请求的任何位置才能显示上下文菜单,然后单击“发送给”中继器“。
笔记:您还可以通过显示HTTP请求的上下文菜单将请求发送到转发器,其中HTTP请求,例如站点地图或代理历史记录。
去“中继器“ 标签。
在这里,我们可以将各种有效载荷输入到Web应用程序的输入字段中。beplay体育能用吗
我们可以通过编辑“RAW”或“PARAMS”选项卡中的适当参数的值来测试各种输入。
在此示例中,我们正在尝试揭示应用程序所持持有的信用卡详细信息。
史密斯'或'1'='1是尝试更改查询逻辑并显示表中保持的所有用户信息。
可以在转发器工具的“响应”面板中查看响应。
可以在您的浏览器中查看保证进一步调查或确认的响应。
单击“在浏览器中显示响应”。
将URL粘贴到浏览器中以查看那里的响应。
在此示例中,攻击已产生所有用户的信用卡详细信息。