web基础漏洞-sql注入测试
sql注入的自动测试,为了便于处理,将其分为两个阶段分别处理,即漏洞测试发现和漏洞利用。前者更加普遍和重要。
1、自动测试流程
1.1 选择业务和sql语句
- insert
- delete
- update
- select where id=?
- select where title like '?'
- select where username=? and password=?
- ...
1.2 常用的测试
引号导致报错
数值注入
逻辑注入
时间盲注
2、自动测试流程