学 SQL 注入玩这些就够了

SQL 注入漏洞一直以来备受大家关注，虽然没有十年前那么多，但是还是有非常多的线上系统存在这样的安全问题，如今数据安全问题越来越受重视，而 SQL 注入漏洞能直接影响企业的数据安全。

对于初学者而言，如果想学习相关技术以及锻炼漏洞的测试和利用，有哪些靶场可以使用呢？今天给大家整理了几个关于 SQL 注入漏洞靶场的项目和线上环境。

0x01 sqli-labs

该项目包含 65 个漏洞案例，涉及技术非常全面，是个不错的练习靶场，需要自己搭建相关环境进行测试，项目地址：

https://github.com/Audi-1/sqli-labs

0x02 portswigger

portswigger 是著名安全工具 BurpSuite 的开发团队，他们提供了很多 web 漏洞练习的实验环境，需要登录之后才可以使用，项目地址：

https://portswigger.net/web-security/all-labs#sql-injection

0x03 hacksplaining

这个靶场比较适合初学者，一步一步的提示你如何操作，可以说是手把手教学了，项目地址：

https://www.hacksplaining.com/exercises/sql-injection

0x04 tryhackme

这是一个专注开发漏洞靶场的平台，当然也有 sql 注入相关的靶场环境，也是需要登录之后才可以使用，测试时会为你启动一个测试环境，项目地址：

https://tryhackme.com/room/sqlilab

0x05 snyk

这个平台对于各种漏洞的学习，以语言做分类，可以很好理解不同语言下的不同漏洞测试和利用，学习相关知识，结合代码来学习，能很好的理解漏洞原理，项目地址：

https://learn.snyk.io/lessons/sql-injection/java/

0x06 sqli-labs by vulnspy

这个也是个开源项目，包含 22 个漏洞案例，部分内容参考第一个实验项目，项目地址：

https://www.vulnspy.com/sqli-labs/

0x07 notsosecure

这个平台整理 27 个相关挑战，主要以视频和文档的方式来介绍不同环境下漏洞的利用，作为一个学习的资料还是不错的，项目地址：

https://notsosecure.com/sql-injection-lab

0x08 application.security

这个平台看着很不错，也是一步一步指引你去操作，从操作中学习知识，测试完之后给你展示漏洞代码，先会用再去理解原理，是个不错的学习环境，项目地址：

https://application.security/free-application-security-training/owasp-top-10-sql-injection

0x09 PHP7 版 sqli-labs

基于第一个 sqli-lab 项目，将所有代码适配到 php7 版本，涉及的技术和测试方法跟第一个项目相差无几，项目地址：

https://github.com/skyblueee/sqli-labs-php7

0x0A redtiger

这是一个在线共享的测试靶场，有很多人在用，一共十个关卡，项目地址：

http://redtiger.labs.overthewire.org/

0x0B NoSQLi Lab

之前的项目都是针对关系型数据库的利用，这个项目是针对非关系型数据库的漏洞环境，比如 redis、mongoDB 等，测试起来还是有所差别的，项目地址：

https://github.com/digininja/nosqlilab

0xFF 总结

参考资料不少，为了让大家的学习更简单，有很多前辈做了很多事儿，对于学习这个事儿，最终还得靠自己动手实践，理解背后之原理。