抓包在可提交的数据前加单引号之类的特殊字符,如果页面回显异常就八成有注入漏洞了(Q^Q)~
3 个回答
查看是否报错,是有盲注,布尔注入,基本上不管是GET 还是POST 看到id参数直接跑就完了
我比较喜欢用工具,手工太繁琐,首先判断有无waf,如果存在先尝试bypass,然后写sqlmap bypass temper,不存在直接sqlmap
抓包在可提交的数据前加单引号之类的特殊字符,如果页面回显异常就八成有注入漏洞了(Q^Q)~
我比较喜欢用工具,手工太繁琐,首先判断有无waf,如果存在先尝试bypass,然后写sqlmap bypass temper,不存在直接sqlmap