问Vega显示SQL注入漏洞，但sqlmap拒绝。
EN

Security用户

提问于 2016-09-06 15:01:52

回答 1查看 1.3K关注 0票数 0

我在测试一个应用程序。网址基本上是app.php?app=appname。如果存在app，则会提供正确的输出，但如果不存在，则会得到内部服务器错误500。

Vega检测到它是SQL注入漏洞，但是当我用sqlmap测试它时，它在这个url中找不到注入。Vega显示了URL app.php?app=appname'%20AND%201=2%20--%20，但它也会给出相同的内部错误。

在这种情况下，它真的是一个SQL注入漏洞吗？我可以强制sqlmap使用这个URL作为帮助吗？

发布于 2016-09-06 15:37:02

如果应用程序正在查询数据库中的appname，则很可能有SQL注入。要用sqlmap测试url，请运行以下命令：

sqlmap -u "app.php?app=appname" -p "app"

这里是一个快速的备忘单，可以保护自己免受SQL注入的影响。

票数 2

页面原文内容由Security提供。腾讯云小微IT领域专用引擎提供翻译支持

原文链接：

https://security.stackexchange.com/questions/136038

复制

相似问题

问Vega显示SQL注入漏洞，但sqlmap拒绝。EN