SQL注入毫無疑問是最危險的Web漏洞之一,因為我們將所有信息都存儲在數據庫中。其解決方案之一,有許多公司實施Web應用程序防火墻和入侵檢測/預防系統來試圖保護自己。但不幸的是,這些對策往往是不充分的,并且很容易被繞過。
盡管不能依賴防火墻來防止所有SQL注入,但一些防火墻在作為監視工具時也會很有效。由于目標存在防火墻,在攻擊過程中會檢測到攻擊者并阻止攻擊。因此,經過優化和繞過的SQL注入具有更高的成功率;它將更快地提取數據并且不會被很快的檢測到。
在本文中,我們將討論和比較各種優化方法,這些方法在利用SQL盲注時非常有效。我們還將介紹SQL查詢,這些查詢可用于僅使用一個請求轉儲整個數據庫,這使得在不被注意的情況下非常容易的快速檢索數據。此外,我們將檢查幾種繞過技術,這些技術可能使防火墻無法識別SQL攻擊。將這些技術結合起來會造成致命的攻擊,而且這可能是毀滅性的。
請各位牢牢記住這張圖,以后不要出賣我就可以了。
sqlmap介紹和安裝
sqlmap是一個開源的滲透測試工具,可以用來進行自動化檢測,利用SQL注入漏洞,獲取數據庫服務器的權限。它具有功能強大的檢測引擎,針對各種不同類型數據庫的滲透測試的功能選項,包括獲取數據庫中存儲的數據,訪問操作系統文件甚至可以通過外帶數據連接的方式執行操作系統命令。
Python安裝百度下載就可以了(記得配置python環境變量,這里不對簡單問題做說明)
sqlmap去官網
