owasp SQL 注入测试-01 (准备工作)
1:现在网络安全的入侵事件经常发生,所以就要必要做个测试:
先去下载VM 的镜像:https://sourceforge.net/projects/owaspbwa/
下载后VMworkstation 打开就可以了。
2: 下面先熟悉一下界面:
3: 下面用下面的密码进入
Damn Vulnerable Web App LOGIN:
Id: admin
Passwd: admin
4: 进去之后看到这个界面:
点进去后,有个source review:
5: 关于入侵就复杂,也有容易的测试,这个可以调整的:
下面可以看一下SQl 注入的这个源代码,这个代码是后台的:
<?php
if(isset($_GET['Submit'])){
// Retrieve data
$id = $_GET['id'];
$getid = "SELECT first_name, last_name FROM users WHERE user_id = '$id'";
$result = mysql_query($getid) or die('<pre>' . mysql_error() . '</pre>' );
$num = mysql_numrows($result);
$i = 0;
while ($i < $num) {
$first = mysql_result($result,$i,"first_name");
$last = mysql_result($result,$i,"last_name");
echo '<pre>';
echo 'ID: ' . $id . '<br>First name: ' . $first . '<br>Surname: ' . $last;
echo '</pre>';
$i++;
}
}
?>
参考文献: 黑客攻防 从入门到入狱【网络安全】_哔哩哔哩_bilibili