摘要： 目录寻找SQL注入点一些测试工具使用记录 在企业SDL流程里，寻找SQL注入也是一项关键步骤。 寻找SQL注入点 自动化为主（由静到动，逐步递进），人工为辅（尽量的少人工参与）。 自动化 - 白盒在源码提交的时候，进行源码卡点扫描、审计； - 在黑盒环境，基于流量、测验样例进行自动化扫描； 手动 - 阅读全文

摘要： 注入常用函数 数据库相关 database() 返回当前数据库名 @@datadir 读取数据库路径 @@basedir 读取数据库安全路径 @@version_compile_os 返回当前操作系统 UDF相关 version() || @@version 返回MySQL服务器的版本 show v 阅读全文

摘要： 查看登录用户 mysql> select host,user,password from user; 想用本地IP登录，那么可以将以上的Host值改为自己的Ip即可。 这里有多个root，对应着不同场景。（后期研究为什么mysql表有多个root） 给远程连接授权 mysql> use mysql; 阅读全文