我们进行渗透测试,有的时候会遇到json传递数据包的项目,如果我们的某一个json参数存在注入,手注还可以,但是着实让sqlmap犯了难~
通常的json数据通常是这个样,{"id":["int"]}
sqlmap无法判断参数是哪个,sqlmap的 -p 命令又不好制定json的字段信息,sqlmap会懵逼~
我们知道在sqlmap中在需要检测参数中插入一个“ * ”号,是制定待检测的参数。所以检测json注入的方法如下
方法1:
{"id":["int*"]}
网上的方法2:
{"id":"int"} //去掉方括号
这样就可以告诉sqlmap你要检测的参数是哪个了~
文章评论