Web安全测试基础-6

新书

速递

吴老的java版《selenium webdriver 实战宝典》和python版《selenium Webdriver 3.0 自动化测试框架实战指南》出版了,代码拿来就能用。

文 | 李文祥

二、SQL Map实例

1

第一步:查看该网站是否存在sql注入漏洞

结果得出,该服务器类型是Windows 2003 or xp,数据库类型是Access。

02

第二步:使用- -tables参数,猜测表名称

结果得出,猜测到了5个table的名称。

03

第三步:猜测admin_user表的内容

结果显示,admin_user表中有admin, data, id, password字段。

04

第四步:猜测admin_user表中admin, password字段的内容

结果得出用户名admin和密码,密码是md5加密显示的,下面解密密码为:

下面总结下使用sqlmap注入网站的简单步骤(Access数据库)

第一步:猜测是否可以进行注入

第二步:猜表名

第三步:根据猜测到的表名猜测表中的字段

第四步:根据猜测的字段名称猜测表中的字段值

SQL Map参数有很多,大家掌握常用的命令参数即可。

下期预告

BeEF实战

安装喜马拉雅app,搜索“光荣之路”可以收听吴老和他的朋友们分享的35小时测试知识语音

本文来自企鹅号 - 光荣之路媒体

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏Python学习心得

​Python爬虫 --- 2.4 Scrapy之天气预报爬虫实践

原文链接:https://www.fkomm.cn/article/2018/8/5/31.html

24800
来自专栏杨建荣的学习笔记

MySQL里几个查询语句的性能优化论证

前几天在网上看了一个帖子,描述的现象是在MySQL中,对in,or,union all的性能的比对,看完之后,我就产生了疑问。 文章的大意是说,使用i...

33460
来自专栏北京马哥教育

我用4年时间解决了Python GIL的一个bug...

495100
来自专栏小巫技术博客

应用被强杀了怎么办

10720
来自专栏牛客网

蚂蚁金服面经(3+4)

【每日一语】我和这个世界不熟。这并非是我撕裂的原因。我依旧有很多完整,至少我要成全我自己。──北岛《我和这个世界不熟》

23920
来自专栏青青天空树

node.js+vue.js搭建程序设计类课程教学辅助系统

  毕业才刚刚两个多月而已,现在想想大学生活是那么的遥不可及,感觉已经过了好久好久,社会了两个月才明白学校的好啊。。。额,扯远了,自从毕业开始就想找个时间写下毕...

58920
来自专栏向治洪

android开发性能分析

1 背景 其实有点不想写这篇文章的,但是又想写,有些矛盾。不想写的原因是随便上网一搜一堆关于性能的建议,感觉大家你一总结、我一总结的都说到了很多优化注意事项...

27150
来自专栏杨建荣的学习笔记

system表空间不足的问题分析(r6笔记第66天)

很多事情见多了也就有了麻木的感觉,报警短信就是如此,每天总能收到不少的报警短信,可能很多时候就扫一眼,如果没有严重的问题自己是不会情愿打开电脑处理的。 对于此,...

28140
来自专栏Golang语言社区

KCP-GO源码解析

ARQ:自动重传请求(Automatic Repeat-reQuest,ARQ)是OSI模型中数据链路层的错误纠正协议之一. RTO:Retransmissio...

76430
来自专栏更流畅、简洁的软件开发方式

我的分页控件(未完,待续)——控件件介绍及思路

分页控件新版本,基于.net2.0。 http://www.cnblogs.com/jyk/archive/2008/07/05/1236692.html ...

22470

扫码关注云+社区

领取腾讯云代金券