SQL注入 (SQL Injection):通过把一段精心设计的SQL语句放到可以提交或输入域名或页面请求的查询字符串,让服务器产生歧异。最终达到欺骗服务器执行设计者想要的SQL命令的结果。
显注:当攻击者拼接SQL语句注入时,网站会把SQL语句的执行结果显示在网页上。
盲注:网站不会把SQL语句的执行结果显示出来。盲注还分为时间性盲注和布尔型两者。
- 布尔型盲注(Boolean注入),能用是与否的逻辑进行注入的盲注
- 时间盲注,时间注入的本质也是布尔注入,只不过是用数据库是否延迟执行的方式来表达是与否的逻辑。时间注入是利用sleep()或benchmark()等函数让数据库执行的时间变长。
sqlmap 工具
学习内容均参考Farmsec:http://book.fsec.io/201-%E6%BC%8F%E6%B4%9E%E5%8E%9F%E7%90%86%E4%B8%8E%E5%B7%A5%E5%85%B7/201-A-%E6%BC%8F%E6%B4%9E%E5%8E%9F%E7%90%86/201-A3-SQL%E6%B3%A8%E5%85%A5%EF%BC%88%E4%B8%8A%EF%BC%89.html