retrofit2 发送json数据_SQLmap JSON 格式的数据注入
现在越来越多的网站开始使用 RESTFUL 框架,数据传输使用 JSON,那么这种情况下我们如何使用 SQLmap 进行自动化注入呢?
能使用 * 指定注入点吗?
先说结论:对于 JSON 数据的 SQL 注入使用 * 是错误的!
首先需要着重强调一下,网上有很多文章说可以使用*来指定注入点,但经过我的实测,SQLmap 发送的数据包会被强制转换为普通格式。
我们可以使用-vvv参数来查看 SQLmap 发送的测试数据:
sqlmap -u https://www.example.com —data {"externalCode":"DCS214120101000456814087*"} --risk=3 -vvv
如上图所示,可以看到使用*时,JSON 格式的 POST 数据被强制转换为普通格式,如此发送到服务端当然是没办法识别的。
正确的用法: -r 参数
对于 JSON 格式的注入,正确用法是:
- 将 BurpSuite 中的数据包保存到本地 sql.txt
2. 使用 -r 参数来注入,SQLmap 会自动识别 JSON 格式并发现注入点:
sqlmap -r sql.txt此时,如果使用-vvv参数查看,你会发现发送的测试数据包仍然是 JSON 格式:
这种用法才是正确的.
两个比较容易采坑的点
- 如果是
HTTPS站点,需要手动在 Host 字段后加上 443 端口,就像下面这样:
2. 如果要指定 POST 数据中 JSON 参数注入点,-p参数是不支持的,需要手动添加*:
如果你觉得这篇文章还不错的话,欢迎关注我哦!
retrofit2 发送json数据_SQLmap JSON 格式的数据注入相关推荐
- java json自定义_java返回json设置自定义的格式
springMvc返回Json中自定义日期格式 (一)输出json数据 springmvc中使用jackson-mapper-asl即可进行json输出,在配置上有几点: 1.使用mvc:annota ...
- 惟客数据解读:数据湖、数据仓库、数据中台究竟区别在哪儿?
数字化转型浪潮卷起各种新老概念满天飞,数据湖.数据仓库.数据中台轮番在朋友圈刷屏,有人说"数据中台算个啥,数据湖才是趋势",有人说"再见了数据湖.数据仓库,数据中台已成气 ...
- python处理大量excel数据-使用python将大量数据导出到Excel中的小技巧分享
(1) 问题描述:为了更好地展示数据,Excel格式的数据文件往往比文本文件更具有优势,但是具体到python中,该如何导出数据到Excel呢?如果碰到需要导出大量数据又该如何操作呢? 本文主要解决以 ...
- java webservice 接收数据_WebService客户端,接收数据解析存入数据库
WebService客户端,实现的功能是接收数据,按格式解析数据,最后存入相应数据库. 需求: 同步设备信息接口 url:http://localhost:54059/Service1.asmx 函数 ...
- 数据泵 oracle/impdp导入数据(windows)
第一步 CMD 登陆到oracle 使用最高权限 Microsoft Windows [版本 6.1.7601] 版权所有 (c) 2009 Microsoft Corporation.保留所有权利. ...
- php 接收curl json数据格式,curl发送 JSON格式POST数据的接收,以及在yii2框架中的实现原理【精细剖析】...
1.通过curl发送json格式的数据,譬如代码: function http_post_json($url, $jsonStr) { $ch = curl_init(); curl_setopt($ ...
- [SoapUI] 通过SoapUI发送POST请求,请求的body是JSON格式的数据
通过SoapUI发送POST请求,请求的body是JSON格式的数据: data={"currentDate":"2015-06-19","reset ...
- java发送post请求json格式_Linux QT 4G发送HTTP POST请求发送JSON格式的数据
一.在PC Window(QT5版本) 1.1.构建URL 1.2.构建HTTP请求头 1.3.连接信号与操作,接收服务器回复的消息 槽函数这里我们要在头文件定义,然后把处理过程实现. void Ma ...
- 如何在Django中接收JSON格式的数据
Django做了大量工作简化我们的Web开发工作, 这其中当然也包括接收来自客户端的数据这一普遍需求. 大部分时候,从客户端传入的数据主要是FORM的POST数据,和来自URL的GET数据, 在Dja ...
最新文章
- Node的异步与java的异步_node中异步IO的理解
- 计算机网络怎么查看连接打印机驱动,涨姿势:手把手教你如何连接网络打印机...
- 在阿里云里申请免费Https证书SSL
- 西门子cpu指示灯含义_西门子S7200仿真软件如何使用?
- pandas DataFrame 数据处理常用操作
- 在Spring中使用jOOQ:CRUD
- [Axure教程]0001.新手入门基础
- uva 10245 The Closest Pair Problem_枚举
- 【英语学习】【Daily English】U08 Dating L02 What would you do if you were me?
- 计算机视觉通道域(channel)注意力机制——SENet
- 马斯克怒删特斯拉和SpaceX脸书主页!硅谷二马恩怨再升级
- 基于matlab的FFT滤波,可以实现对simulink模型中示波器的波形数据或者外部mat数据、csv数据进行谐波分析(FFT)和自定义频段清除
- html 灯箱效果样式,jQuery灯箱效果插件-Swipebox
- 高级语言与低级语言如何定义?解释型语言和编译型语言又如何区别?
- 基于java的自驾游自助游旅游网站
- 需求与商业模式创新-需求2-需求基础
- mysql数据的复制与恢复_MySQL 数据库的备份与恢复
- 外包也开始卷起来了???
- 计算机中的二进制实验报告,+实验二 计算机的数据表示和计算.doc
- CentOS7部署文件双向同步工具(unison)