其实我们在众测的时候完全可以使用burpsuite联合sqlmap测试目标的注入漏洞。对get和post型注入都支持。 先来记录proxy的log ， 记住路径 把proxy拦截关掉 接下来浏览器配置代理，对目标站点一通请求，我一般都找页面比较偏僻的小功 ...

1、安装 python2.7 并设置环境变量 2、SQLMAP 程序包&下载地址：sqlmap.org ...

(1).SQL概念 　　所谓SQL注入，就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意的SQL命令。它是利用现有应用程序，可以通过在Web表单中输入（恶意）SQL语句得到一个存在安全漏洞的网站上的数据库。比如先前的很多影视网站泄露VIP会员 ...

第一次发博客，有不对的地方希望大牛们多多见谅！！！ 事出必有因。 这是个兼职网站，可是网上的兼职众所周知，而我朋友被骗40￥，作为他的铁哥们，我当然不能坐的看着。ri它 咳咳。。。好像废话 ...

其实http://www.cnblogs.com/xishaonian/p/6276799.html这个就是一个案例了。 但是不得不重写一篇文章来记载。因为这是一个姿势。很好的姿势。 保存为xishaonian.php sqlmap,py -u "http ...

sqlmap可以批量扫描包含有request的日志文件，而request日志文件可以通过burpsuite来获取， 因此通过sqlmap结合burpsuite工具，可以更加高效的对应用程序是否存在SQL注入漏洞进行地毯式的扫描。 1.首先是burp设置记录log，文件名就随便填一个 ...

0x00前言： 大家都知道sqlmap是非常强大的sql注入工具，最近发现他有个sqlmap API，上网查了一下。发现这是 sqlmap的微端。（可以叫做sqlmap在线检测sql注入= =） 0x001准备： 环境： Ubuntu 16.04 Python3 Python2 ...

某日偶遇一SQLInjection Point,MSSQL 2008,已开启显错模式。 马上扔进SQLMap跑，一路顺畅，竟然还是SA的权限，心想运气真好，无论如何都拿定了。 数据库，表，列都列出来了，但是上–dump参数就死活跑不出来。 报错 “unable to retrieve ...