Sqlmap在SQL注入漏洞检测中的应用.pdf
《Sqlmap在SQL注入漏洞检测中的应用.pdf》由会员分享,可在线阅读,更多相关《Sqlmap在SQL注入漏洞检测中的应用.pdf(4页珍藏版)》请在咨信网上搜索。
1、计算机时代 2023年 第12期0 引言网络系统漏洞及各类网络安全问题极大地妨碍了信息系统的正常运行,以致阻碍了人们通过网络获取服务的进程,给计算机的使用带来风险。建设有序、安全的网络环境对研究者是一个实际的挑战。漏洞检测是重要的网络安全技术,通过对信息系统的漏洞检测,可及时掌握信息系统的漏洞和问题,在黑客攻击之前做好加固和防范,这是主动的防御措施,可有效提升信息系统的网络安全性1。SQL注入是一种将SQL代码插入或添加到应用(用户)的输入参数中的攻击,之后再将这些参数传递给后台的SQL服务器加以解析并执行,凡是构造SQL语句的步骤均存在被潜在攻击的风险2。SQL注入漏洞常年占据各类漏洞排行榜
2、前列。如果代码和应用程序存在SQL注入漏洞,攻击者可通过SQL注入访问后端数据库内容、远程执行系统命令,在某些情况下甚至可以控制托管数据库的服务器。根据注入点的不同,SQL注入可分为数字类型的注入、字符串类型的注入、搜索类型的注入等;根据提交方式的不同,SQL注入可分为GET型注入、POST型注入、COOKIE注入、HTTP头注入等3。针对SQL注入安全漏洞的检测和防御是网络安全研究领域的热点之一。目前常见的SQL注入漏洞检测工具包含Sqlmap、The Mole、Pangolin、Sqlsus等软件。1 Sqlmap开源软件介绍Sqlmap软件是一款自动化的SQL注入漏洞检测工具,可用于测试
3、各种数据库注入漏洞,甚至可利用SQL注入漏洞,获取数据库服务器权限。作为国内外著名的渗透测试工具,其由Python写成,具有开源且不断更新的特点,备受业界关注4,5。它支持MySQL、Oracle、PostgreSQL、Microsoft SQL Server、MicrosoftAccess、IBM DB2、SQLite、Firebird 等 30 余种数据库的检测,支持枚举用户、密码、哈希、权限、角色、数据DOI:10.16644/33-1094/tp.2023.12.042Sqlmap在SQL注入漏洞检测中的应用冯红娟(国家图书馆,北京 100081)摘要:网络安全工作日益受到重视,其中S
4、QL注入漏洞检测与修复是当前网络安全领域的一个重要研究方向。文章基于Sqlmap软件对数据库注入漏洞检测展开研究,从Sqlmap安装及使用角度进行详细分析,并提出SQL注入漏洞的防御及加固建议。关键词:Sqlmap软件;SQL注入;数据库注入;漏洞检测;BurpSuite软件中图分类号:TP309文献标识码:A文章编号:1006-8228(2023)12-194-04Application of Sqlmap in SQL injection vulnerability detectionFeng Hongjuan(National Library of China,Beijing 10008
5、1,China)Abstract:Network security has been paid more and more attention,in which SQL injection vulnerability detection and repair is animportant research direction.Based on Sqlmap software,the detection of database injection vulnerabilities is studied,the installationand use of Sqlmap are analyzed i
6、n detail,and suggestions for the defense and reinforcement of SQL injection vulnerabilities areput forward.Key words:Sqlmap software;SQL injection;database injection;vulnerability detection;BurpSuite software收稿日期:2023-08-04作者简介:冯红娟(1983-),女,山东省青州市人,硕士,副研究馆员,主要研究方向:数字资源整合与服务,系统网络安全。194Computer Era No
7、.12 2023库、数据表和列。Sqlmap软件可安装在Windows和Linux操作系统上。因为Sqlmap软件基于Python环境研发,所以第一步需安装配置 Python 环境。第二步,下载并安装Sqlmap。在Sqlmap官网https:/sqlmap.org/,下载最新版Sqlmap安装包,之后进行解压缩即完成安装。本文选用Sqlmap1.7.3,并对基于Sqlmap软件探测MySQL数据库注入漏洞展开详细研究。2 利用Sqlmap软件对SQL注入漏洞进行检测2.1 GET型漏洞检测62.1.1 指定测试目标使用 Sqlmap软件检测 GET型漏洞,实施 SQL注入时,首先需要指定测试
8、目标,也就是检测的链接。使用-u参数进行检测(u即URL的简写),示例:sqlmap.py-u URL地址当检测目标是多个网络链接时,可以将多个链接存储在一个txt文件里,如test.txt,使用-m参数进行检测(m为multiple的简写),示例:sqlmap.py-m test.txt。2.1.2 指定测试目标的爬取深度为收集更多的潜在的可能存在漏洞的链接,可以指定 Sqlmap 的检测深度,使用参数-crawl。示例:Python.py-u URL地址-crawl=5。2.1.3 指定测试等级、测试风险Sqlmap提供了level、risk参数,用来在检测过程中指定测试等级和测试风险。其
9、中,-level用于指定测试等级,可选1-5,默认为1。当参数大于等于2时,会检测cookie,当参数大于等于3时,会检测user-agent和referer;-risk用于指定测试风险,可选0-3,默认为1,会检测大部分的测试语句,2会增加基于事件的测试语句;3会增加or语句进行检测。2.1.4 指定SQL注入技术Sqlmap支持六种SQL注入技术,分别是:基于布尔类型的盲注(boolean-based blind,参数为B);基于时间的盲注(time-based blind,参数为T);基于报错的盲注(error-based,参数为 E);联合查询注入(UNIONquery-based,参
10、数为U);堆查询注入(stacked queries,参数为S)及内联查询注入(Inline queries,参数为Q)。若不指定注入技术,Sqlmap 实施注入时会依次使用以上技术。若对某系统比较熟悉,也可使用参数-technique,指定Sqlmap选用哪种注入方式进行检测,以加快检测进度。示例:sqlmap.py-u URL地址-technique=B。2.1.5 进一步探测数据库信息对于未检测到SQL注入漏洞的情况,Sqlmap软件操作界面会给予提示“all tested parameters do notappear to be injectable”。如软件检测结果提示为“SQLi
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- Sqlmap SQL 注入 漏洞 检测 中的 应用
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【自信****多点】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【自信****多点】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。