1. Burpsuite抓取HTTP请求
Burpsuite是一款Web安全测试的利器,集成了几乎Web安全测试中所有需要用到的功能。运行前提:1、需要安装Java https://www.java.com/zh_CN/
截断代理设置:在浏览器中设置局域网代理。
启动Burpsuite进行截断抓取HTTP消息。
2. POST 基于错误单引号注入
注入点位置发生了变化,在浏览器中已经无法直接进行查看与修改。当然可以借助对应的插件可以完成修改任务。以Sqli-Lab Less11 为例。
3. POST 基于错误双引号注入
查看Sqli-Lab Less 12源代码
4. Sqlmap安全测试
Sqlmap安全测试 进行POST注入
复制Burpsuite截断的HTTP请求数据包到文本文件中,使用Sqlmap -r 文件路径 -p 指定探测参数。
