前言:免责声明:涉及到的所有技术仅用来学习交流,严禁用于非法用途,未经授权请勿非法渗透。否则产生的一切后果自行承担!该渗透测试项目为已授权项目,本文已对敏感部分做了相关处理。正文:SQL注入(已修复)拿到客户授权后首先尝试访问其官网查看其都有哪些功能。在官网上测试了一波后发现功能点很少,在信息收集过程中发现其有个search路径尝试访问发现其为站内搜索功能,于是就尝试判断其有无sql注入漏洞。果不其然发现其输入正常数据搜索时页面正常,但在后面加上'时页面开始报错。在经过测试后发现其无回显。打开burp再次判断确认其可通过延时注入实现SQL注入。sqlmap一把梭:“python3sqlmap.
