SQL注入
1.SQL注入
注入介绍
SQL Injection,即SQL注入,攻击者在WEB表单或者页面请求的查询字符串中通过注入恶意的SQL命令,从而使数据库执行恶意的SQL语句。
1.2漏洞出现场景
1.3注入思路
- 判断是否存在注入,注入的类型是字符型,数字型还是搜索型
- 猜解SQL查询语句中的字段数
- 确定显示的字段顺序
- 获取当前数据库
- 获取数据库中的表
- 获取表中的字段名
- 查询数据
在User ID中,输入1-5,会发现这个只是通过ID查询用户的信息
Low级别没有对参数id进行过滤,直接拼接到SQL语句中,存在明显的SQL注入漏洞
1.4漏洞利用
若有收获,就点个赞吧
0 人点赞
