首页 ›存档› 技术 › 查看内容

实战！使用burp macros和sqlmap绕过csrf防护进行sql注入

2018-3-30 13:00 |来自: 互联网 454 0

摘要: 前言有很多工具可以用来对web应用进行自动化测试。其中最有名的应当是sqlmap。Sqlmap让你轻松的通过命令行确认和利用SQL注入漏洞。然而，一些像CSRF、tokens或者简单的的反自动化技术如在一个表单中包含一个隐藏值就 ...

前言

有很多工具可以用来对web应用进行自动化测试。其中最有名的应当是sqlmap。Sqlmap让你轻松的通过命令行确认和利用SQL注入漏洞。然而，一些像CSRF、tokens或者简单的的反自动化技术如在一个表单中包含一个隐藏值就能够阻止自动化工具正确的工作。Burp Suite中的Macros是一个绕过这些方法去进行自动化测试的优秀方法，虽然它实现起来有些复杂。
在本文中我们将用一个简单的web程序作为例子，用户可以用这个程序搜索动物的图片。

这是一个使用SQL Server做后端数据库的ASP.NET程序。它有SQL盲注漏洞。我们可以从下图看到。

如果我们看了一眼源代码，就会发现在一个输入表单中有一个隐藏的GUID token。

1 2 3 4 5 6 7 8 9 10 11
声明：文章版权归原作者所有部分文章转自互联网如有侵权请联系 [邮箱地址] 删除

路过

雷人

握手

鲜花

鸡蛋

收藏分享邀请

上一篇：干货 | 如何七周成为数据分析师之SQL篇（二）下一篇：漏洞预警：WordPress NextGEN Gallery插件SQL注入

实战！使用burp macros和sqlmap绕过csrf防护进行sql注入

相关分类