大家都熟悉动态网站的SQL注入了,网上有很多资源。
伪静态伪静态的注入点查找:
1.手工注入判断(和动态注入判断方法一样):
1)正常页面显示,如图:
2)在网址加上" ' ",网页不正常显示,如下图:
3)在网址加上" and 1=1 ",网页正常显示,如图:
4)在网址加上" and 1=2 ",网页不正常显示,如图:
由此可知该网页存在SQL注入
2.使用工具SQLMAP进行注入检测:
对网址进行构造,加一些特殊字符,如:*、#等等
检测如下:
浙公网安备 33010602011771号