友基科技网站sql注入漏洞

2019独角兽企业重金招聘Python工程师标准>>>

虽然现在sql注入不像以前那么常见，但是在一些中小型网站还是会存在。如该网站某URL如图：

最简单的探测sql注入漏洞的方法，就是在参数后，即332后加一个英文单引号',观察程序反应，如果产生错误log，说明有可能存在sql注入漏洞。该网站反应如图：

直接把后台报错打印了出来，该条报错说明后台数据库有可能是微软的ACCESS，如果还想继续验证可以将332改成330+2，不过330+2要经过url编码，即330%2b2，如果返回界面相同就说明存在漏洞，如果想手动探测数据库名、表名、字段名和数据，可以试着自己拼一下各种sql命令。
这里我用的sqlmap工具，sqlmap是用python写的，由于是解释性语言，可以各种跨平台，linux下默认安装了该工具，以backtrack 5为例。首先探测数据库名，如截图：
结果显示确实有sql注入漏洞，后台数据库是access，不过没有探测到数据库名。然后直接探测表名，如截图：

探测到数据库名，枚举出两个表名。然后探测列名、数据下载等等都可以用sqlmap实现。sqlmap使用参见：Backtrack 命令解析（information gathering）。
PS：本文章只为学习讨论，禁止根据本文做破坏性动作。本文由youthflies发表在易踪网，地址：http://www.yeetrack.com/?p=216

转载于:https://my.oschina.net/u/147181/blog/164801

友基科技网站sql注入漏洞相关推荐

白帽子发现美军网站SQL注入漏洞，可获取敏感数据
去年有报道称,美军收购软件漏洞为网战准备.而美军自己的网站和服务器究竟又有多安全?一名独立安全研究者已经发现了美军网站的几个较为严重的安全漏洞. 安全专家称,这些漏洞说明了美国防部网络安全基础的脆弱性 ...
网站安全测试与检测中发现的OA系统中的SQL注入漏洞
近日,SINE安全监测中心监控到泛微OA系统被爆出存在高危的sql注入漏洞,该移动办公OA系统,在正常使用过程中可以伪造匿名身份来进行SQL注入攻击,获取用户等隐私信息,目前该网站漏洞影响较大,使用此 ...
php网站漏洞检测对sql注入漏洞防护
近日,我们SINE安全对metinfo进行网站安全检测发现,metinfo米拓建站系统存在高危的sql注入漏洞,攻击者可以利用该漏洞对网站的代码进行sql注入攻击,伪造恶意的sql非法语句,对网站的数 ...
拿到一个网站，怎么判断该网站是否存在sql注入漏洞？
漏洞挖掘漏洞利用修复漏洞 sql注入漏洞.文件操作漏洞.xss.rce.逻辑漏洞反序列化.... sql注入漏洞: 网站的数据库脱裤拖取网站数据库数据库基础: 数据库基本结构:数据库 -- ...
对搜狐网易和TOM三大门户网站的SQL注入漏洞检测
分享一下我老师大神的人工智能教程!零基础,通俗易懂!http://blog.csdn.net/jiangjunshow 也欢迎大家转载本篇文章.分享知识,造福人民,实现我们中华民族伟大复兴! 对搜狐. ...
动易html在线编辑器漏洞,动易网站管理系统vote.asp页面存在SQL注入漏洞
动易网站管理系统vote.asp页面存在SQL注入漏洞测试系统: 动易(PowerEasy CMS SP6 071030以下版本) 安全综述: 动易网站管理系统是一个采用 ASP 和 MSSQL 等 ...
php网站漏洞检测对sql注入漏洞防护 1
近日,我们SINE安全对metinfo进行网站安全检测发现,metinfo米拓建站系统存在高危的sql注入漏洞,攻击者可以利用该漏洞对网站的代码进行sql注入攻击,伪造恶意的sql非法语句,对网站的数 ...
怎样检查网站Sql注入的漏洞
怎样检查网站Sql注入的漏洞 https://jingyan.baidu.com/article/bad08e1effbdca09c85121ba.html 转载于:https://www.cnblo ...
holdpwd php,PHPMyWind后台管理界面的SQL注入漏洞 - 网站安全
后台管理界面因为过滤不严格导致SQL注入漏洞,可以使权限较低的管理员取得较高权限,以及获取并修改超级管理员的用户名密码. 存在问题的代码,admin_save.php 59-101行,SQL语句中的$ ...

友基科技网站sql注入漏洞

友基科技网站sql注入漏洞相关推荐

最新文章

热门文章