Web安全测试基础-6

新书

速递

吴老的java版《selenium webdriver 实战宝典》和python版《selenium Webdriver 3.0 自动化测试框架实战指南》出版了，代码拿来就能用。

文 | 李文祥

二、SQL Map实例

1

第一步：查看该网站是否存在sql注入漏洞

结果得出，该服务器类型是Windows 2003 or xp，数据库类型是Access。

02

第二步：使用- -tables参数，猜测表名称

结果得出，猜测到了5个table的名称。

03

第三步：猜测admin_user表的内容

结果显示，admin_user表中有admin, data, id, password字段。

04

第四步：猜测admin_user表中admin, password字段的内容

结果得出用户名admin和密码，密码是md5加密显示的，下面解密密码为：

下面总结下使用sqlmap注入网站的简单步骤(Access数据库)

第一步：猜测是否可以进行注入

第二步：猜表名

第三步：根据猜测到的表名猜测表中的字段

第四步：根据猜测的字段名称猜测表中的字段值

SQL Map参数有很多，大家掌握常用的命令参数即可。

下期预告

BeEF实战

安装喜马拉雅app，搜索“光荣之路”可以收听吴老和他的朋友们分享的35小时测试知识语音