使用BurpSuite来进行sql注入

BurpSuite之SQL Injection
[平台]:mutillidae
[工具]BurpSuite 1.4.07 + FireFox
1:安装配置mutillidae
如果遇到问题,开下面的帖子.
http://www.irongeek.com/i.php?page=mutillidae/mutillidae-deliberately-vulnerable-php-owasp-top-10
2:SQL Injection测试
选择“OWASP Top 10″ —>> ”A1 – Injection” —>> ”SQLi – Extract Data” —>> ”User Info”,如下:

进入以下界面,如图:

单引号检测Name对应表单,返回如下:

利用常见的手段进行注入,
1.order by
2.UNION
3.SELECT
….
关于如何手动注入,在此略过.
废话了半天,下面直接看Burp Suite的应用.




如果想要熟悉Burp Suite的使用,一定要搞清楚它的几种检测模式.
假设有下面字典,利用上面四种方式,分别完成测试:

 
============================================================
如果还是意犹未尽,www.91ri.org 建议大家去Youtube上看一下关于mutillidae的系列视频,个人觉得那套教程很详细的介绍了Burp Suite的使用.在此仅列出一部分:

参考:http://www.freebuf.com/articles/5560.html

小结:
本文以Intruder的Sniper模式进行实例说明,介绍Burp Suite Intruder功能下singer,battering ram,pitchfork,cluster bomb.是怎么运作的.

本文作者Gall由网络安全攻防研究室(www.91ri.org)信息安全小组收集整理,转载请注明出处。