当前位置: 首页 > news >正文 高端网站建设 骆诗浙江省旅游企业网站建设情况 news 2025/10/30 6:26:12 高端网站建设 骆诗,浙江省旅游企业网站建设情况,网站开发 前端 后端 如何结合,计算机哪个专业最吃香而且最简单注入技术 选项--technique#xff0c;可以用来指定SQL注入技术#xff0c;默认为BEUSTQ。其中#xff0c;B表示基于布尔盲注#xff0c;E表示基于错误的盲注#xff0c;U表示基于联合查询注入#xff0c;S表示堆叠注入#xff0c;T表示基于时间盲注#xff0c;Q表示内联…注入技术 选项--technique可以用来指定SQL注入技术默认为BEUSTQ。其中B表示基于布尔盲注E表示基于错误的盲注U表示基于联合查询注入S表示堆叠注入T表示基于时间盲注Q表示内联查询注入。 1. 基于布尔盲注的时候sqlmap通过比较返回页面的不同来判断真假但有时候一些界面元素会影响sqlmap的判断那么可以提供一个在原始页面与真条件下的页面中都存在而在错误页面中不存在的字符串。sqlmap提供了选项--string用来指定该字符串即查询值有效时在页面匹配的字符串。例如 --techniqueB --stringhello 设置在错误页面中存在而在原始页面中不存在的字符串: --techniqueB --not-stringfail 2.基于错误的注入是通过输入特定语句触发页面报错。如果触发成功则网页会包含相关错误信息帮助用户获取想要的信息进行判断. --text-only用来指定只比较网页的文本内容 --titles可以设置仅比较网页标题 3.基于时间的盲注是根据时间延迟语句是否执行即页面返回时间是否延长来判断注入漏洞存在的可能性. --time-sec可以用来设置响应延时的时间避免慢速网络带来的干扰 4.联合查询注入根据UNION语句注入的结果进行判断。 --union-cols可以用来指定列数检测范围。 5.堆叠注入Stacked injection就是允许用户同时执行多条SQL语句从而说明目标存在堆叠注入漏洞,但并不是在每一个环境中都可以执行堆叠注入其可能会受到API或者数据引擎不支持的限制。 例如 -techniqueBS -v 3 6.二阶sql注入二级SQL注入是指将输入的数据先存储再读取然后以读取的数据构成SQL查询形成SQL注入漏洞。为了更好理解举一个例子 某网站提供注册功能我们注册了一个名字为admin-- 的用户注册时特殊符号被转义为普通字符那我们就注册了一个admin--的用户注册后我们使用admin--登录后修改密码此时如果程序从数据库调用从外部保存下来的数据时并没有进行过滤没有做处理就直接执行了以下语句UPDATE users SET PASSWORD123456 where usernameadmin-- - 如果这时数据库中原本有一个admin的系统用户那么我们就成功修改了admin的密码。 由于二阶SQL注入是在第二次请求的页面中产生的所以需要指定二级响应的URL地址。选项--second-url用来设置二级响应的URL地址。 --second-urlhttp://192.168.1.131/dvwa/ 7. 7.自定义注入 sqlmap在注入时生成无效参数一般情况下sqlmap会取已有参数的相反数作为无效参数。例如默认提交的参数为id1sqlmap会取相反数即id-1。如果不希望使用默认的方式可以通过一些选项设置让参数值无效如使用大数、使用逻辑运算等。 --invalid-bignum可以强制使用大数让值使用前id-1,使用后如id9999 --invalid-string可以强制使用随机字符串让值无效使用前id-1,使用后如iddfrgdf --risk 用来设置测试的风险范围为13。其中1会测试大部分的测试语句2会在默认的检测上添加大量时间型盲注语句测试 3会增加OR语句的SQL注入测试。 设置请求线程和延迟 --threads可以用来设置HTTP请求的线程数默认为1(线程数就是单位时间内发送的HTTP请求数) --delay用来设置每次请求的时间间隔默认没有延迟单位为秒 清理痕迹 --purge从本机sqlmap数据目录中安全地删除所有内容。所谓安全删除不仅仅是删除而是在删除前先用随机数据覆盖原有数据甚至对文件名和目录名也进行重命名以覆盖旧名称所有覆盖工作完成后才执行删除。 --cleanup清除sqlmap注入时在目标DBMS中产生的UDF文件与各种表 规避防火墙 所有的Web服务器都会安装防火墙。如果防火墙探测到有异常请求将会阻止访问服务器的数据。由于SQL注入属于攻击行为所以在测试过程中可能会被目标的防护系统拦截导致测试失败。 使用安全网址安全网址就是指访问会返回响应状态码200并且不会有任何报错信息的网址--safe-url可以用来设置使用的安全网址。还必须指定--safe-freq选项用于设置访问请求频率即每隔几个常规测试访问一次安全URL。 –safe-urlhttp://192.168.1.31/sqli-labs/ --safe-freq2 --safe-req用于从文件中加载安全网址的HTTP请求。该选项也必须与--safe-freq选项一起使用。 -safe-post可以用来指定访问安全网址时通过POST方式提交的数据。该选项必须与选项--safe-url和--safe-freq配合使用。 --safe-urlhttp://192.168.1.31/dvwa/login.php --safe-postusernameadminpasswordpassword --safe-freq2 使用脚本绕过防火墙脚本保存在sqlmap安装目录的tamper文件夹中。--list-tampers用于列出所有可用的脚本。选项--tamper可以用来指定使用的Tamper脚本。用户也可以同时使用多个Tamper脚本之间使用逗号分隔如--tamperbetween,randomcase 绕过CSRF防护 1、由于Token每请求一次就会变化一次。所以由于该令牌不固定可能导致注入测试失败。如果请求的URL地中中包括了token参数sqlmap提供了选项--csrf-token用于指定控制Token的参数。–csrf-tokentoken 2、如果注入测试的目标URL不包含必需的令牌就需要从其他位置提取令牌。sqlmap提供了选项--csrf-url可以用来指定获取令牌的网址。 –csrf-tokentoken --csrf-urlhttp://192.168.1.31/login.php 3、--csrf-retries可以用来设置反CSRF令牌重试次数默认为0 HTTP污染技术 HTTP参数污染是绕过WAF/IPS/IDS的一种技术选项--hpp用来使用HTTP污染技术。 chunked传输编码方式 chunked是HTTP报文头中的一种传输编码方式表示当前的数据需要分块编码传输--chunked可以用来启用chunked传输功能。 总结如果常规扫描没有发现漏洞可尝试用以上方法再次扫描验证也许就有意想不到的收获。 写在最后想要获取sqlmap更多的选项信息记得用-hh,而不是-h记忆方法哈哈找到了两个哈h 文章转载自: http://www.morning.ljzss.cn.gov.cn.ljzss.cn http://www.morning.zdkzj.cn.gov.cn.zdkzj.cn http://www.morning.tbnpn.cn.gov.cn.tbnpn.cn http://www.morning.khpx.cn.gov.cn.khpx.cn http://www.morning.pngph.cn.gov.cn.pngph.cn http://www.morning.cctgww.cn.gov.cn.cctgww.cn http://www.morning.dqxnd.cn.gov.cn.dqxnd.cn http://www.morning.hbtarq.com.gov.cn.hbtarq.com http://www.morning.bpmfg.cn.gov.cn.bpmfg.cn http://www.morning.jbtzx.cn.gov.cn.jbtzx.cn http://www.morning.qbmjf.cn.gov.cn.qbmjf.cn http://www.morning.gxeqedd.cn.gov.cn.gxeqedd.cn http://www.morning.yfrbn.cn.gov.cn.yfrbn.cn http://www.morning.wyfpc.cn.gov.cn.wyfpc.cn http://www.morning.ymjrg.cn.gov.cn.ymjrg.cn http://www.morning.dgmjm.cn.gov.cn.dgmjm.cn http://www.morning.zdxss.cn.gov.cn.zdxss.cn http://www.morning.hongjp.com.gov.cn.hongjp.com http://www.morning.mjmtm.cn.gov.cn.mjmtm.cn http://www.morning.ftmly.cn.gov.cn.ftmly.cn http://www.morning.cmdfh.cn.gov.cn.cmdfh.cn http://www.morning.bfybb.cn.gov.cn.bfybb.cn http://www.morning.xyrss.cn.gov.cn.xyrss.cn http://www.morning.clgbb.cn.gov.cn.clgbb.cn http://www.morning.bmsqq.cn.gov.cn.bmsqq.cn http://www.morning.wrcgy.cn.gov.cn.wrcgy.cn http://www.morning.zljqb.cn.gov.cn.zljqb.cn http://www.morning.xshkh.cn.gov.cn.xshkh.cn http://www.morning.fmznd.cn.gov.cn.fmznd.cn http://www.morning.nbybb.cn.gov.cn.nbybb.cn http://www.morning.hncrc.cn.gov.cn.hncrc.cn http://www.morning.bbyqz.cn.gov.cn.bbyqz.cn http://www.morning.zcwzl.cn.gov.cn.zcwzl.cn http://www.morning.rwjh.cn.gov.cn.rwjh.cn http://www.morning.drtgt.cn.gov.cn.drtgt.cn http://www.morning.gllhx.cn.gov.cn.gllhx.cn http://www.morning.dpflt.cn.gov.cn.dpflt.cn http://www.morning.xzlp.cn.gov.cn.xzlp.cn http://www.morning.srnhk.cn.gov.cn.srnhk.cn http://www.morning.ktmbr.cn.gov.cn.ktmbr.cn http://www.morning.pgmyn.cn.gov.cn.pgmyn.cn http://www.morning.zhishizf.cn.gov.cn.zhishizf.cn http://www.morning.zqfjn.cn.gov.cn.zqfjn.cn http://www.morning.jkfyt.cn.gov.cn.jkfyt.cn http://www.morning.mlntx.cn.gov.cn.mlntx.cn http://www.morning.pcjw.cn.gov.cn.pcjw.cn http://www.morning.ruifund.com.gov.cn.ruifund.com http://www.morning.kbfzp.cn.gov.cn.kbfzp.cn http://www.morning.sqfrg.cn.gov.cn.sqfrg.cn http://www.morning.hrzhg.cn.gov.cn.hrzhg.cn http://www.morning.nhpgm.cn.gov.cn.nhpgm.cn http://www.morning.bhwll.cn.gov.cn.bhwll.cn http://www.morning.gtcym.cn.gov.cn.gtcym.cn http://www.morning.mdmxf.cn.gov.cn.mdmxf.cn http://www.morning.mwqbp.cn.gov.cn.mwqbp.cn http://www.morning.ktqtf.cn.gov.cn.ktqtf.cn http://www.morning.sqdjn.cn.gov.cn.sqdjn.cn http://www.morning.cwgpl.cn.gov.cn.cwgpl.cn http://www.morning.mhdwp.cn.gov.cn.mhdwp.cn http://www.morning.junyaod.com.gov.cn.junyaod.com http://www.morning.nylbb.cn.gov.cn.nylbb.cn http://www.morning.ztmkg.cn.gov.cn.ztmkg.cn http://www.morning.tzpqc.cn.gov.cn.tzpqc.cn http://www.morning.nhpmn.cn.gov.cn.nhpmn.cn http://www.morning.joinyun.com.gov.cn.joinyun.com http://www.morning.rbrd.cn.gov.cn.rbrd.cn http://www.morning.gyfwy.cn.gov.cn.gyfwy.cn http://www.morning.qlsyf.cn.gov.cn.qlsyf.cn http://www.morning.tnfyj.cn.gov.cn.tnfyj.cn http://www.morning.mhmdx.cn.gov.cn.mhmdx.cn http://www.morning.jlschmy.com.gov.cn.jlschmy.com http://www.morning.jypsm.cn.gov.cn.jypsm.cn http://www.morning.rkmhp.cn.gov.cn.rkmhp.cn http://www.morning.fthcq.cn.gov.cn.fthcq.cn http://www.morning.skksz.cn.gov.cn.skksz.cn http://www.morning.kpcdc.cn.gov.cn.kpcdc.cn http://www.morning.hotlads.com.gov.cn.hotlads.com http://www.morning.playmi.cn.gov.cn.playmi.cn http://www.morning.kjrp.cn.gov.cn.kjrp.cn http://www.morning.cfhwn.cn.gov.cn.cfhwn.cn 查看全文 http://www.tj-hxxt.cn/news/261610.html 相关文章: 上海 餐饮网站建设wordpress后台新建慢 网站访问慢 分析工具阿里网站建设方案书 江苏初中课程基地建设网站wordpress小说采集插件 怎么建设58同城网站备案的时候网站要建设好吗 网站建设中html中关于图片显示的标签有哪些WordPress主题保存 做电商网站用什么语言泉州网站建设 乐本园 广东的网站建设wordpress seo 网站源码带手机版淮安软件园网站建设 永兴县网站建设哪家好音视频网站建设可行性报告 网站建设和运维合同遵义市播州区住房和城乡建设局官方网站 摄影网站的规划与设计怎样优化排名自己网站 没有公司个人可以做网站卖东西吗如何用ai给网站做logo 企业网站的主要内容文大侠seo 简述php网站开发流程图南阳网站 网站做板块地图的办法如何向alexa提交网站 新昌做网站app制作教程步骤图 做窗帘的厂家网站十里堡网站建设 php旅游网站模板下载中国设计网站导航 外贸关键词网站怎么做互联网推广 怎么选择顺德网站建设室内设计案例分享 云浮各类免费建站用ps做商城网站好做吗 有没有免费做英语题的网站网站策划方案书 制作一个网站并上传访问wordpress主题位置 哈尔滨优惠的网站建设天元建设集团有限公司 李增启 电话 信息平台网站建设长沙抖音代运营电话 陶瓷 网站模板代理公司注册代理公司注册汇发财税 怎么做棋牌网站阿里云怎么购买域名 滨州市滨城区建设局网站十堰市茅箭区建设局网站 注册网站会员需要详细填写产品网站设计 网站开发平台的定义安卓开发和网站开发
