接口測(cè)試之SQL注入

首頁(yè)我們先熟悉一下什么是接口SQL注入：就是通過(guò)把SQL命令插入到接口參數(shù)中，通過(guò)接口傳達(dá)到服務(wù)器，欺騙服務(wù)器執(zhí)行惡意的SQL命令。

比如在一個(gè)登錄界面，要求輸入用戶名和密碼：

可以這樣輸入實(shí)現(xiàn)免帳號(hào)密碼登錄：

用戶名： user’--

密 碼：12345

點(diǎn)登陸,如若沒(méi)有做特殊處理, 從理論上說(shuō)，后臺(tái)認(rèn)證程序中會(huì)有如下的SQL語(yǔ)句：

String sql ="select * from user_table here username=

'"+userName+" ' and password=' "+password+" '";

當(dāng)輸入了上面的用戶名和密碼，上面的SQL語(yǔ)句變成：

SELECT?*?FROM?user?WHERE?username?=?‘user’-- ‘AND?password?=?’12345‘?

分析SQL語(yǔ)句：

‘-- ’后面都被注釋掉了，相當(dāng)于：

SELECT?*?FROM?user?WHERE?username?=?‘user’?

此時(shí)就是只要存在這個(gè)用戶就可以登錄成功。這是一個(gè)相對(duì)善良的注入，如果注入一些刪表等語(yǔ)句后果就可想而知了。

接口-SQL注入測(cè)試方法：

1. 工具掃描（SQLmap , Pangolin等）

2.手動(dòng)參數(shù)配置為特殊字符或SQL腳本。

安裝：

1.先安裝python環(huán)境，再執(zhí)行下面命令:

git clonehttps://github.com/sqlmapproject/sqlmap.git

檢測(cè)是否可注入命令：

Python sqlmap.py–u ‘URL’?--

結(jié)果查看：post

parameter ‘id’ does not seem to injectable表示檢查的接口是不可攻擊的。

可攻擊樣例：待補(bǔ)充