乐于分享 共同成长

JE2Se ,一个不怎么努力上进的小菜鸡

SqlMap检测JSON注入分析

我们进行渗透测试,有的时候会遇到json传递数据包的项目,如果我们的某一个json参数存在注入,手注还可以,但是着实让sqlmap犯了难~

通常的json数据通常是这个样,{“id”:[“int”]}

sqlmap无法判断参数是哪个,sqlmap的  -p 命令又不好制定json的字段信息,sqlmap会懵逼~

《SqlMap检测JSON注入分析》

我们知道在sqlmap中在需要检测参数中插入一个“ * ”号,是制定待检测的参数。所以检测json注入的方法如下

方法1:

{“id”:[“int*”]}

网上的方法2:

{“id”:”int”}       //去掉方括号

 

这样就可以告诉sqlmap你要检测的参数是哪个了~

点赞

发表评论

电子邮件地址不会被公开。 必填项已用*标注

12 + 9 =