• 跳至主要導覽
  • 跳至主要內容
  • 跳至主要資訊欄
Office 指南

Office 指南

辦公室工作實用教學

  • Excel
  • Word
  • PowerPoint
  • Windows
  • PowerShell
  • R

Burp Suite 搭配 SQLiPy 透過 SQLMap 進行 SQL Injection 測試教學與範例

介紹如何安裝與使用 Burp Suite 進行網頁應用程式的安全性滲透測試。


SQLiPy 是 Burp Suite 的一個擴充功能,可以將 Burp Suite 攔截到的 HTTP 請求,透過 SQLMap 進行掃描,偵測 SQL injection 的弱點,以下是 SQLiPy 的安裝與使用方式。

安裝 SQLiPy Sqlmap Integration 擴充功能

在安裝 SQLiPy 之前,要先確認 Burp Suite 有安裝好 Jython,若之前尚未安裝過 Jython,則可從 Jython 的網站下載最新版的 Standalone JAR 檔案,並在 Burp Suite 的「Extender」中的「Python Environment」設定 Jython standalone JAR 檔案路徑。

設定 Jython 路徑
設定 Jython 路徑

接著在「Extender」中的「BApp Store」,安裝「SQLiPy Sqlmap Integration」擴充功能。

安裝 SQLiPy Sqlmap Integration
安裝 SQLiPy Sqlmap Integration

啟動 SQLMap API 伺服器

安裝好「SQLiPy Sqlmap Integration」擴充功能之後,在 Burp Suite 中會出現一張新的「SQLiPy」頁籤,在開始使用時,要先在「SQLMap API」頁籤中設定好 SQLMap API 伺服器相關的設定(通常使用預設值即可),按下「Start API」啟動 SQLMap API 伺服器。

SQLMap API 尚未啟動
SQLMap API 尚未啟動

SQLMap API 伺服器啟動之後,會顯示綠色的「SQLMap API IS CURRENTLY RUNNING!」訊息,這時候就可以開始使用 SQLiPy 透過 SQLMap 進行掃描了。

SQLMap API 已啟動
SQLMap API 已啟動

以 SQLiPy 透過 SQLMap 掃描

若要以 SQLiPy 透過 SQLMap 掃描,先使用 Proxy 功能攔截包含表單的 HTTP 請求,在請求內容上按下滑鼠右鍵,選擇「Extensions」、「SQLiPy Sqlmap Integration」、「SQLiPy Scan」,將 HTTP 請求資料傳遞至 SQLMap 掃描功能中。

將 HTTP 請求轉送至 SQLiPy Scan
將 HTTP 請求轉送至 SQLiPy Scan

選擇「SQLiPy」中的「SQLMap Scanner」頁籤,可以看到從 Proxy 轉入的 HTTP 請求資料,此處的掃描選項都對應到 sqlmap 指令的參數,調整必要的設定之後,即可執行掃描。

SQLMap Scanner
SQLMap Scanner

送出掃描請求之後,即可在「SQLMap Logs」中依據掃描的 ID 查詢掃描記錄。

SQLMap Logs
SQLMap Logs

事實上 SQLiPy 所做的事情就是將 Proxy 攔截的 HTTP 請求內容,轉為 sqlmap 的輸入參數而已,在掃描記錄中也有實際執行的 sqlmap 指令與參數內容,對於熟悉指令操作的人,也可以透過手動建立參數的方式,達到一樣的效果。

分類:免費工具 標籤:滲透測試(Penetration Test)

讀者互動方式

發佈留言 取消回覆

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *

主要資訊欄

搜尋

近期文章

  • C++ 語言使用 Crypto++ 實作 RSA 數位簽章教學與範例
  • C++ 語言使用 Crypto++ 實作 RSA-OAEP 搭配 SHA256 加密教學與範例
  • C++ 語言使用 Crypto++ 實作 AES 加密、解密、認證加密教學與範例
  • C++ 語言使用 Crypto++ 實作 MD5、SHA1、SHA2、BLAKE2 雜湊教學與範例
  • Ubuntu Linux 安裝、使用 Crypto++ 加密函式庫教學與範例
  • C 語言使用 OpenSSL 實作橢圓曲線 ECDH 金鑰交換教學與範例
  • Python 以 eciespy 實作 ECC 非對稱式加密方法教學與範例
  • C 語言使用 OpenSSL 實作 PBKDF2 教學與範例

推薦網站

  • Udemy 線上教學課程
  • Coursera 線上教學課程

關注本站

  • 電子郵件
  • Facebook

公益

  • 家扶基金會
  • 台灣世界展望會
  • Yahoo 奇摩公益
  • igiving 公益網
  • 兒福聯盟

Copyright © 2021 · Office Guide