漏洞利用

  1. 参数类型 - 符号闭合
  2. 数据库类型 - 选择不同的攻击语句和攻击思路
  3. 数据提交方式 - 数据注入的时候传输不一样,如POST、HOST等
  4. 数据SQL查询方式 - 1.无回显 2.测试点不同(增删改查等) 3.人工发现
  5. 数据加密编码方式
  6. 存在回显 - 盲注
  7. 高权限 - 换一种思路获得权限

漏洞危害

  1. 单个数据库泄漏
  2. 所有数据库泄漏
  3. 后台权限
  4. web权限:文件操作、执行命令等
  5. 后续导致服务器权限丢失

漏洞特点

  1. 开发语言决定注入发生率
  2. 数据库类型决定注入利用过程
  3. 部分注入点的发现需要人工探针(增删改查等)
  4. 防护注入代码过滤、WAF等