現在越來越多的網站開始使用 RESTFUL 框架，數據傳輸使用 JSON，那么這種情況下我們如何使用 SQLmap 進行自動化注入呢？

能使用 * 指定注入點嗎？

先說結論：對于 JSON 數據的 SQL 注入使用 * 是錯誤的！

首先需要著重強調一下，網上有很多文章說可以使用*來指定注入點，但經過我的實測，SQLmap 發送的數據包會被強制轉換為普通格式。

我們可以使用-vvv參數來查看 SQLmap 發送的測試數據：

sqlmap -u https://www.example.com —data {"externalCode":"DCS214120101000456814087*"} --risk=3 -vvv

如上圖所示，可以看到使用*時，JSON 格式的 POST 數據被強制轉換為普通格式，如此發送到服務端當然是沒辦法識別的。

正確的用法: -r 參數

對于 JSON 格式的注入，正確用法是：

將 BurpSuite 中的數據包保存到本地 sql.txt

2. 使用 -r 參數來注入,SQLmap 會自動識別 JSON 格式并發現注入點：

sqlmap -r sql.txt

此時，如果使用-vvv參數查看，你會發現發送的測試數據包仍然是 JSON 格式：

這種用法才是正確的.

如果你覺得這篇文章還不錯的話，歡迎關注、點贊、收藏。

更多滲透測試相關的干貨資料、工具、滲透思路等，歡迎專注我的 Github——「滲透測試方法論」

總結

以上是生活随笔為你收集整理的sqlmap自动扫描注入点_SQLmap JSON 格式的数据注入的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。