环境准备:构建完善的安全渗透测试环境:推荐工具、资源和下载链接_渗透测试靶机下载-CSDN博客
一、注入原理:
对于后台来说,delete操作通常是将对应的id传递到后台,然后后台会删除该id对应的数据。
如果后台没有对接收到的 id 参数进行充分的验证和过滤,恶意用户可能会利用这一点进行注入攻击。
二、注入演示
使用pikachu靶场练习
使用bp对删除操作抓包
因为靶场的源码没有对这个传入的id做过滤,所以这个位置存在注入点,我们先将抓到的删除请求发送到重发器,然后在id后面加上反斜杠再次删除,就会出现sql的错误提示
