support 447 Posted December 6, 2019 Report Share Posted December 6, 2019 Пример теста на sql injection параметра akeywords: python sqlmap.py "http://vamshop.loc/faq.php?akeywords=" -dbs Если sql запрос узвим, будет писать injectable Если пишет injectable, значит недостаточное экранирование входящих данных в SQL запросе. И надо использовать vam_db_input функцию, либо addslashes C помощью опции -dbs вернёт список всех баз данных. Желательно использовать параметр --fresh-queries Что б результат sqlmap не кэшировался, иначе после исправления sql injection sqlmap по-прежнему будет писать, что есть проблема. А по факту она закрыта. Так что обязательно используйте с параметром --fresh-queries: python sqlmap.py "http://vamshop.loc/faq.php?akeywords=" -dbs --fresh-queries Link to post Share on other sites
Recommended Posts