其實我們在眾測的時候完全可以使用burpsuite聯合sqlmap測試目標的注入漏洞。對get和post型注入都支持。
先來記錄proxy的log , 記住路徑
把proxy攔截關掉
接下來瀏覽器配置代理,對目標站點一通請求,我一般都找頁面比較偏僻的小功能
sqlmap對log一通測試
python sqlmap.py -l c:\log.txt –batch
也可以加個–smart參數,啟動啟發式快速判斷,節約時間,但是據我測試會漏報
python sqlmap.py -l c:\log.txt –batch –smart
結果輸出在
[11:53:16] [INFO] you can find results of scanning in multiple targets mode inside the CSV file 'C:\Users\Administrator\.sqlmap\output\results-03122016_1147am.csv'
算是效果還不錯
