SQL注入测试技能

概述

SQL注入是一种常见且危险的Web应用漏洞。本技能提供了系统化的SQL注入测试方法、检测技术和利用策略。

测试方法

1. 参数识别

• 识别所有用户输入点：URL参数、POST数据、HTTP头、Cookie等
• 重点关注：id、search、filter、sort等参数
• 使用Burp Suite或类似工具拦截和修改请求

2. 基础检测

• 单引号测试：' - 查看是否出现SQL错误
• 布尔盲注：' AND '1'='1 vs ' AND '1'='2
• 时间盲注：' AND SLEEP(5)--
• 联合查询：' UNION SELECT NULL--