使用 SQLMAP 在 ASP.NET Web 应用程序中测试 SQL 注入

Posted

技术标签:

【中文标题】使用 SQLMAP 在 ASP.NET Web 应用程序中测试 SQL 注入【英文标题】:using SQLMAP to test SQL injection in ASP.NET web application 【发布时间】:2019-02-23 19:57:33 【问题描述】:

我正在尝试使用 SQLMAP 工具在我的具有表单身份验证的 asp.net Web 应用程序上测试 SQL 注入的可能性。但我没有得到任何明确的指示。我在许多论坛上尝试过,但没有发现任何具体的 ASP.NET Web 应用程序。大部分演示都是为 php 站点提供的,它不像 ASP.NET 那样工作。

当我尝试运行时

sqlmap.py -u "https://test.XXXX_SIT/login.aspx" --dbs

命令,我最终从 SQLMAP 控制台得到以下响应

我是安全测试这方面的新手,我什至愿意接受任何更好、更简单的免费工具来为我完成这项工作。

请让我知道实现此目标的可能解决方案或其他更好的可能性。

问候,

Krishna Samaga B.

【问题讨论】:

您是否发送任何 POST 数据? 【参考方案1】:

你需要参数来测试。

sqlmap.py -u "https://test.XXXX_SIT/login.aspx?login=1&pass=2" --dbs

例如login和pass都是GET参数。

sqlmap.py -u "https://test.XXXX_SIT/login.aspx" --data='login=1&pass=2' --dbs

如果您发送 POST 请求并登录并通过

【讨论】:

以上是关于使用 SQLMAP 在 ASP.NET Web 应用程序中测试 SQL 注入的主要内容,如果未能解决你的问题,请参考以下文章

防止 asp.net Web 表单中的跨站点请求伪造 (csrf) 攻击

ASP.NET 页面特定配置

在VS2015中缺少ASP.NET Web应用程序模版

如何在 Windows 服务中托管一个简单的 ASP.NET Web 界面

在我的 ASP.NET Web API 中验证访问令牌

无法在 IIS 7.5 上运行 ASP.NET MVC 2 Web 应用程序