現(xiàn)在越來越多的網(wǎng)站開始使用 RESTFUL 框架，數(shù)據(jù)傳輸使用 JSON，那么這種情況下我們?nèi)绾问褂?SQLmap 進(jìn)行自動化注入呢？

能使用 * 指定注入點(diǎn)嗎？

先說結(jié)論：對于 JSON 數(shù)據(jù)的 SQL 注入使用 * 是錯誤的！

首先需要著重強(qiáng)調(diào)一下，網(wǎng)上有很多文章說可以使用*來指定注入點(diǎn)，但經(jīng)過我的實測，SQLmap 發(fā)送的數(shù)據(jù)包會被強(qiáng)制轉(zhuǎn)換為普通格式。

我們可以使用-vvv參數(shù)來查看 SQLmap 發(fā)送的測試數(shù)據(jù)：

sqlmap -u https://www.example.com —data {"externalCode":"DCS214120101000456814087*"} --risk=3 -vvv

如上圖所示，可以看到使用*時，JSON 格式的 POST 數(shù)據(jù)被強(qiáng)制轉(zhuǎn)換為普通格式，如此發(fā)送到服務(wù)端當(dāng)然是沒辦法識別的。

正確的用法: -r 參數(shù)

對于 JSON 格式的注入，正確用法是：

將 BurpSuite 中的數(shù)據(jù)包保存到本地 sql.txt

2. 使用 -r 參數(shù)來注入,SQLmap 會自動識別 JSON 格式并發(fā)現(xiàn)注入點(diǎn)：

sqlmap -r sql.txt

此時，如果使用-vvv參數(shù)查看，你會發(fā)現(xiàn)發(fā)送的測試數(shù)據(jù)包仍然是 JSON 格式：

這種用法才是正確的.

如果你覺得這篇文章還不錯的話，歡迎關(guān)注、點(diǎn)贊、收藏。

更多滲透測試相關(guān)的干貨資料、工具、滲透思路等，歡迎專注我的 Github——「滲透測試方法論」

總結(jié)

以上是生活随笔為你收集整理的sqlmap自动扫描注入点_SQLmap JSON 格式的数据注入的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。