网络安全] sql 注入问题的处理方法
最编程
2024-05-19 13:16:44
...
目录
问题
10.60.100.194,修改之前
修改方案
问题解决
测试过程
问题思考与总结
问题
一次sql注入问题的筛查报告,主要是sql注入的问题资源-****文库
doc-new\20-设计文档\34-Mesh设备管理\100-网络安全
10.60.100.194,修改之前
修改方案
问题解决
测试过程
python 27 配合windows下的sqlmap
C:\Python27\sqlmap>sqlmap.py -r 1.txt --level 3 -batch -dbs
POST /web/product HTTP/1.1
Content-Type: application/json;charset=UTF-8
Accept: application/json, text/plain, */*
X-Requested-With: XMLHttpRequest
Referer: https://www.gbcom.com.cn/
Content-Length: 67
Accept-Encoding: gzip,deflate,br
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/119.0.0.0 Safari/537.36
Host: www.gbcom.com.cn
Connection: Keep-alive
{"mainMenuAction":"/index","id":"1*"}
问题思考与总结
(1)在进行问题解决之前,我们发现 ,即使我们已经在后能进行了打印,确保了不会有sql注入问题。如下。
但在当时 ,依然 会有被 -dbs扫描而出的数据库
思考:经过程序的打印,已经没有了不正确的sql注入;但依然可以dbs扫描打印出数据库信息 ,有可能是缓存的信息,前面扫描出来的数据库信息!
(2)将sqlmap的缓存文件,如下,其中session.sqlite进行取出,用chat2db打开。发现其中的缓存 信息。如下列各图
这个时候,将sqlmap下的这个缓存文件移除,再探测,就正常了!
上一篇: 稳定扩散学习记录