SQL盲注工(gōng)具(BSQLinjector)

大小:587.8M 類別:

官方免費 安全糾錯

  • 更新時間(jiān)2025-12-18
  • 版本V10.9
  • 權限查看
  • 係統androids
  • 語言簡(jiǎn)體中文
3d百位振幅走势图值 今日3d开奖号码走势图sql盲注解決(jué)方案構造SQL查詢時,請使用參(cān)數化查詢、驗證輸入對用戶輸入的數據進行全麵安全檢查或(huò)過(guò)濾,尤其注意檢查是否包含HTML特殊字符。這些檢查或過濾(lǜ)必須在(zài)服務器端完成,建議過(guò)濾的常見危險字(zì)符。足球大小(xiǎo)球 sql盲注是什麽意思就是用SQL查詢語(yǔ)句(jù)去猜解表名(míng)、字段、數據等。盲(máng)注(zhù)和普(pǔ)通的(de)SQL注入原...

sql盲注解決方案

構造SQL查詢時,請使用參數化查詢、驗證輸(shū)入對(duì)用戶輸入的數據進行全麵安全檢查或過(guò)濾,尤其注意檢查是否包含(hán)HTML特殊字符。這些檢查或過濾必須在服務器端完成,建議過濾的常見(jiàn)危險字符。足球大小球

sql盲注是什麽意思

就是用SQL查詢語句去猜解表名、字段、數據等。

盲注(zhù)和普通的SQL注(zhù)入原理是一樣的,不同(tóng)在哪裏?

普通注入是會顯(xiǎn)示一些錯誤信(xìn)息在頁麵上給攻擊者判斷,也就(jiù)是說它會有多種情(qíng)況,從而方(fāng)便攻擊者。

而盲注(zhù)則是隻有兩種情況,即TRUE和FALSE,這樣說並不是很準確,因為SQL查詢無非就這(zhè)兩種情(qíng)況,應該說是盲注的時候你隻能得到一個正常(cháng)的(de)頁麵或者是什麽頁麵的不存在,甚至你在查詢表的記錄過程也不會有顯示。

SQL盲注是一種SQL注入漏洞,攻擊者可以操縱SQL語句,應(yīng)用會針對(duì)真假條件(jiàn)返回不同(tóng)的值。但是攻(gōng)擊者無法檢索查詢結果。

由於SQL盲注漏洞非常耗時且需要向Web服(fú)務發送很多請求,因而(ér)要想利用(yòng)該漏(lòu)洞,就(jiù)需(xū)要采(cǎi)用自動的技術。盲(máng)注用工具(jù)很難進行注入(rù)效果仍然不大理想,所以(yǐ)要重視手工注入(rù)技巧。

盲注(zhù)是不(bú)能通過直接顯示的途徑來獲取數(shù)據庫數據的方法。在盲注中,攻(gōng)擊者根據其返回頁麵的不同來判斷信息(可能是頁麵(miàn)內容的不同,也(yě)可以是響應時間(jiān)不同)。一般情況(kuàng)下,盲注可分為三類。

Booleanbase

Timebase

Errorbase

BSQLinjector各功能解析

--file(強製),文(wén)件包含有效的HTTP請求和SQL注入點(SQLINJECT)。(--file=/tmp/req.txt)

--pattern(強製(zhì)),當查詢為(wéi)true時,用於查(chá)找的模式。(--pattern=truestatement)

--prepend(強(qiáng)製),主要載荷。(--prepend=”abcd'and'a'='b'+union+select+'truestatement'+from+table+where+col%3d'value'+and+substr(password,”

--append,如何結束www.17c.com的有效載荷。例如,注釋掉剩下的SQL語句。(--append='#

--2ndfile,文件包含有效的HTTP請求,用於二次利用。(--2ndfile=/tmp/2ndreq.txt)

--mode,使用盲模式(shì)(在-b(產生少量(liàng)請求),更少-a(通過使用"<"、">"、"="字符產生更(gèng)少請求),like-l(完全強製),equals–e(完全強製))。(--mode=l)

--hex,使用十六進製進行比較,而不是字符。

--case,大小寫敏感。

--ssl,使用SSL。

--proxy,使用的代理。(--proxy=127.0.0.1:8080)

--test,開啟測試(shì)模式。不發送請求,僅僅顯示完整的有(yǒu)效載荷。

--comma,編碼逗號(hào)。

--bracket,向substring函數末尾添加括號。--bracket=”))”

--schar,在字符周圍放置的(de)字符。在十六進製模(mó)式下不使用這個字符。(--schar=”’”)

--special,在(zài)枚舉中(zhōng)包含所有的(de)特殊字符。

--start,從特定的字符開始枚舉。(--start=10)

--max,枚舉的最大字符數(shù)量。(--max=10)

--timeout,等待響應的超時時間(jiān)。(--timeout=20)

--verbose,顯示(shì)詳(xiáng)細(xì)信息(xī)。

使用舉例

ruby./BSQLinjector.rb--pattern=truestatement--file=/tmp/req.txt--prepend="abcd'and'a'='b'+union+select+'truestatement'+from+table+where+col%3d'value'+and+substr(password,"--append="'#"--ssl

BSQLinjector是一個Ruby語言編寫的SQL盲注工具,它可以從SQL數據庫中檢索數據實現盲注功能。此工具使用簡單,效率更高!建議在(zài)將其發送到(dào)一個應用程序之前,使用”–test”開關(guān)來清楚地查看配(pèi)置後的負載看起來(lái)是什麽樣的。

万博建筑 万博万达广场 澳门万博公司 酷彩乐 在哪买球世界杯

展開內容

應用信息

  • 廠商:上海莉莉絲網(wǎng)絡科技有限公司
  • 包名:com.abc.tools
  • MD5:b9dc4bb7d6414354b538ba58f1f40fc3
  • 年齡:12+
  • 備案號:備案號:粵8Z-200829398-35F
  • 需要網絡 有廣告

猜您喜歡

類似應用

網友評論

586人參與,186條評論
  • 評論需審核後才能顯示

同(tóng)類排行

即(jí)下載(zǎi)(587.8M)
网站地图 www.17c.com_.17c嫩嫩草色视频蜜_WWW.17C久久久嫩草_17c.com网站免费