我们进行渗透测试,有的时候会遇到json传递数据包的项目,如果我们的某一个json参数存在注入,手注还可以,但是着实让sqlmap犯了难~

通常的json数据通常是这个样,{"id":["int"]}

sqlmap无法判断参数是哪个,sqlmap的  -p 命令又不好制定json的字段信息,sqlmap会懵逼~

SqlMap检测JSON注入-JE2Se ' Blog

我们知道在sqlmap中在需要检测参数中插入一个“ * ”号,是制定待检测的参数。所以检测json注入的方法如下

方法1:

{"id":["int*"]}

网上的方法2:

{"id":"int"}       //去掉方括号

 

这样就可以告诉sqlmap你要检测的参数是哪个了~