从实践中学习sqlmap数据库注入测试

从实践中学习sqlmap数据库注入测试

编辑推荐

本书按照SQL注入的测试流程,详细介绍sqlmap的使用方法。

内容简介

随着信息技术的发展,网站(Web)技术广泛应用于人们的生活和工作中。无论是传统的网站还是手机App,它们都借助Web技术从服务器上读写数据。但Web服务器往往存在诸多潜在的安全风险和隐患,如SQL注入攻击、跨站脚本攻击和命令注入攻击等。尤其是Web服务器广泛使用数据库技术,这导致SQL注入攻击成为最常见的攻击方式。

一个Web服务器上可能存储着成百上千个网页,用于接收用户数据,并从数据库中读写数据,只要其中一个网页对用户数据过滤得不严格,就会形成SQL注入漏洞,加之SQL注入的方式众多,这些因素都导致手动测试的工作量巨大。sqlmap是一款业界知名的开源自动化SQL注入测试工具,支持当下流行的39种数据库。

它不但提供多种目标指定方式,而且还支持多目标批量测试。另外,它还能利用6种主流的注入技术自动探测目标存在的SQL注入漏洞,并验证漏洞的危害程度。本书对sqlmap提交的参数进行详细分析,明确SQL注入的防范机制,另外还重点展现SQL注入带来的各种危害,从而帮助安防人员更好地进行防范。

作者简介

作者朱振方,博士,教授,博士生导师,“计算机科学与技术”国家级一流专业建设点负责人。

现任山东交通学院信息科学与电气工程学院计算机系主任,山东交通学院融媒体智能计算与安全技术研究中心主任。主要研究兴趣为网络信息安全和自然语言处理等。

章节目录

版权信息

作者简介

前言

第1篇 测试准备

第1章 sqlmap环境配置

1.1 sqlmap基础知识

1.2 安装sqlmap

1.3 启动sqlmap

1.4 sqlmap使用技巧

第2章 指定目标

2.1 单个目标

2.2 批量测试

2.3 日志文件

2.4 HTTP请求文件

2.5 从谷歌搜索引擎中获取目标

2.6 爬取网站

第3章 连接目标

3.1 设置认证信息

3.2 代理网络

3.3 Tor匿名网络

3.4 处理连接错误

3.5 检测WAF/IPS

3.6 调整连接选项

第4章 探测注入漏洞及数据库类型

4.1 探测GET参数

4.2 探测POST参数

4.3 探测Cookie参数

4.4 探测UA参数

4.5 探测Referer参数

4.6 添加额外的HTTP头

4.7 指定测试参数

第2篇 信息获取

第5章 获取MySQL数据库信息

5.1 MySQL数据库简介

5.2 获取数据库标识

5.3 获取服务器主机名

5.4 获取数据库的用户名

5.5 获取数据库用户的密码

5.6 获取数据库的名称

5.7 获取数据表

5.8 获取数据库架构

5.9 获取数据表中的列

5.10 获取数据表中的内容

5.11 获取数据表的条目数

5.12 获取数据库的所有信息

5.13 搜索数据库信息

第6章 获取MSSQL数据库信息

6.1 获取数据库标识

6.2 检测是否为DBA用户

6.3 获取数据库的名称

6.4 获取数据表的名称

6.5 获取数据库架构

6.6 获取数据表中的列

6.7 获取数据表中的内容

6.8 获取数据库用户的权限

6.9 获取数据库用户和密码

第7章 获取Access数据库信息

7.1 Access数据库简介

7.2 指纹识别

7.3 暴力破解数据表名

7.4 暴力破解数据表中的列

7.5 导出数据表中的列

第8章 获取Oracle数据库信息

8.1 指纹信息

8.2 获取数据库服务的主机名

8.3 获取数据库的用户

8.4 获取数据库用户的密码

8.5 获取数据库用户的角色

8.6 获取数据库用户的权限

8.7 获取数据库的名称

8.8 获取数据表

8.9 获取数据表结构

8.10 获取数据表信息

第9章 使用SQL语句获取数据库信息

9.1 SQL语句

9.2 数据库变量与内置函数

9.3 执行SQL语句的方式

9.4 获取数据库信息

第3篇 高级技术

第10章 注入技术

10.1 基于布尔的盲注

10.2 基于错误的注入

10.3 基于时间的盲注

10.4 联合查询注入

10.5 堆叠注入

10.6 DNS注入

10.7 二级SQL注入

10.8 自定义注入

第11章 访问后台数据库管理系统

11.1 连接数据库

11.2 执行操作系统命令

11.3 访问文件系统

11.4 访问Windows注册表

11.5 建立带外TCP连接

第12章 使用sqlmap优化注入

12.1 跳过低成功率的启发式测试

12.2 优化sqlmap性能

12.3 设置超时

12.4 处理请求和响应

第13章 保存和输出数据

13.1 保存HTTP数据包信息

13.2 处理输出数据

13.3 指定输出位置

13.4 会话管理

第14章 规避防火墙

14.1 设置安全模式

14.2 绕过CSRF防护

14.3 其他绕过防护系统的方式

14.4 使用脚本绕过防火墙

从实践中学习sqlmap数据库注入测试是2022年由机械工业出版社华章分社出版,作者张鹏。

得书感谢您对《从实践中学习sqlmap数据库注入测试》关注和支持,如本书内容有不良信息或侵权等情形的,请联系本网站。

你可能喜欢
医疗后市场:商业模式与投资热点 电子书

本书围绕影响医疗后市场发展的重要因素展开,对医疗后市场的主要参与者进行分析,介绍了各方的。在此基础上对于如何打造医疗后市场产业生态链,形成行之有效的商业模式,实现协同发展也进行了探讨。
自动化测试实战 电子书

以实际用例提炼自动化测试领域的热门主题,提高自动化测试的建设效率、执行效率和维护效率。
渗透测试基础教程 电子书

本书9章全面讲解渗透测试技术与防御方法。
SpringBoot开发与测试实战 电子书

一本关于SpringBoot应用程序开发和测试的入门图书。
机器学习 电子书

机器学习基础与高级内容全面讲解,实例丰富,易于学习巩固。
NoSQL数据库原理 电子书

1.校企合作典范。2.计算机教指委提供指导。3.华为公司提供技术支持和案例。4.作者水平高,层次高。5.是计算机类专业教指委-华为ICT产学合作项目——大数据系列规划教材
图数据库实战 电子书

图数据库入门教程书籍,采用Gremlin语言,完整展示图应用程序的构建过程,从入门到实践学习图数据库。
全程软件测试(第3版) 电子书

适读人群:适合从事软件测试工作、软件开发管理工作、软件测试教学和培训工作,或者有志于软件项目经理的人员阅读  30位测试专家、产品经理、研发负责人、大学教授联袂推荐  知名学者...