环境准备:构建完善的安全渗透测试环境:推荐工具、资源和下载链接_渗透测试靶机下载-CSDN博客
一、注入原理
- 描述:insert注入是指通过前端注册的信息被后台通过insert操作插入到数据库中。如果后台没有做相应的处理,就可能导致insert注入漏洞。
- 原因:后台未对用户输入进行充分验证和过滤,导致恶意用户可以利用特定的输入构造恶意代码,从而影响数据库的插入操作,或者获取敏感数据。
二、注入方法
注入手段:使用or逻辑运算符
- 描述:恶意用户可以通过在用户名字段中利用or逻辑运算符,构造恶意的SQL语句来实现注入攻击。
攻击示例
- 示例:通过以下SQL语句中的or逻辑运算符来构造恶意代码:
# 这是个报错注入的语句,version()获取数据库版本,如果要获取数据库名就改成 database() x' or updatexml(1,concat(0x7e, version()), 0) or '
- 示例:通过以下SQL语句中的or逻辑运算符来构造恶意代码:
使用pikachu靶场练习
