SQL注入(SQL Injection)是一种代码注入技术,它通过在应用程序的输入字段中恶意插入或“注入”SQL语句,从而干扰应用程序的正常数据库查询逻辑。攻击者可以利用这一技术未经授权地访问、修改或删除数据库中的数据,甚至可能控制整个数据库服务器。 2. SQL注入在JSON格式中的风险 当应用程序接收并解析来自不可信赖数据源的...
3、使用and 1=2进行测试,看到查询结果为空,基本上可以确认这个地方存在SQL注入,如下: 4、为了彻底进行验证,将该报文放到SQLMAP中进行自动化测试,由于这是一个POST方法,只好将数据包保存到文件中,这里特别注意因为这是JSON格式,工具可能不能自动识别到参数,因此需要手工在变量后面使用星号(*)进行指定。 5、将报文保...