《从实践中学习sqlmap数据库注入测试》内容简介

随着IT的发展，Web技术从传统的网站领域延伸到了手机App领域。而大部分网站都采用数据库存储数据，这使得SQL注入攻击成为Web安全防护的重点。为了保证网站的安全，开发人员和安全人员需要对网站上成百上千个网页逐一进行检查，以验证其对各种SQL注入攻击的防护效果，这会带来庞大的工作量。sqlmap是一款开源的SQL注入自动化测试工具，它不仅可以大幅度减少检测时间，而且还可以验证漏洞存在的危害性，在Web安防领域有着广泛的应用。本书结合260个操作实例，详细介绍sqlmap注入测试的相关知识。
本书共14章，分为3篇。第1篇“测试准备”，主要介绍sqlmap环境配置、指定目标、连接目标、探测注入漏洞及数据库类型等相关知识；第2篇“信息获取”，主要介绍如何基于sqlmap获取4种主流数据库信息（MySQL、MSSQL、Access和Oracle），以及如何手工获取数据库信息；第3篇“高级技术”，主要介绍sqlmap所使用的注入技术、访问后台数据库管理系统、优化注入、保存和输出数据、规避防火墙等相关内容。
本书适合渗透测试人员、网络维护人员、网站开发人员和信息安全爱好者阅读。通过阅读本书，读者可以系统掌握SQL注入测试技术，并对危害性评估等相关知识有所了解。
朱振方，博士，教授，博士生导师，“计算机科学与技术”国家级一流专业建设点负责人。现任山东交通学院信息科学与电气工程学院计算机系主任，山东交通学院融媒体智能计算与安全技术研究中心主任。主要研究兴趣为网络信息安全和自然语言处理等。
张鹏，精通Web安全技术，熟悉OWASP TOP10漏洞的原理与修复方案，以及渗透测试的步骤、方法和流程，对各类操作系统和应用平台的弱点有较深入的理解。熟悉常见脚本语言，能够进行Web渗透测试，以及恶意代码的检测和分析。

作品目录

前言
第1篇
测试准备
第1章：sqlmap环境配置
1.1、sqlmap基础知识
1.2、安装sqlmap
1.3、启动sqlmap
1.4、sqlmap使用技巧
第2章：指定目标
2.1、单个目标
2.2、批量测试
2.3、日志文件
2.4、HTTP请求文件
2.5、从谷歌搜索引擎中获取目标
2.6、爬取网站
第3章：连接目标
3.1、设置认证信息
3.2、代理网络
3.3、Tor匿名网络
3.4、处理连接错误
3.5、检测WAF/IPS
3.6、调整连接选项
第4章：探测注入漏洞及数据库类型
4.1、探测GET参数
4.2、探测POST参数
4.3、探测Cookie参数
4.4、探测UA参数
4.5、探测Referer参数
4.6、添加额外的HTTP头
4.7、指定测试参数
第2篇
信息获取
第5章：获取MySQL数据库信息
5.1、MySQL数据库简介
5.2、获取数据库标识
5.3、获取服务器主机名
5.4、获取数据库的用户名
5.5、获取数据库用户的密码
5.6、获取数据库的名称
5.7、获取数据表
5.8、获取数据库架构
5.9、获取数据表中的列
5.10、获取数据表中的内容
5.11、获取数据表的条目数
5.12、获取数据库的所有信息
5.13、搜索数据库信息
第6章：获取MSSQL数据库信息
6.1、获取数据库标识
6.2、检测是否为DBA用户
6.3、获取数据库的名称
6.4、获取数据表的名称
6.5、获取数据库架构
6.6、获取数据表中的列
6.7、获取数据表中的内容
6.8、获取数据库用户的权限
6.9、获取数据库用户和密码
第7章：获取Access数据库信息
7.1、Access数据库简介
7.2、指纹识别
7.3、暴力破解数据表名
7.4、暴力破解数据表中的列
7.5、导出数据表中的列
第8章：获取Oracle数据库信息
8.1、指纹信息
8.2、获取数据库服务的主机名
8.3、获取数据库的用户
8.4、获取数据库用户的密码
8.5、获取数据库用户的角色
8.6、获取数据库用户的权限
8.7、获取数据库的名称
8.8、获取数据表
8.9、获取数据表结构
8.10、获取数据表信息
第9章：使用SQL语句获取数据库信息
9.1、SQL语句
9.2、数据库变量与内置函数
9.3、执行SQL语句的方式
9.4、获取数据库信息
第3篇
高级技术
第10章：注入技术
10.1、基于布尔的盲注
10.2、基于错误的注入
10.3、基于时间的盲注
10.4、联合查询注入
10.5、堆叠注入
10.6、DNS注入
10.7、二级SQL注入
10.8、自定义注入
第11章：访问后台数据库管理系统
11.1、连接数据库
11.2、执行操作系统命令
11.3、访问文件系统
11.4、访问Windows注册表
11.5、建立带外TCP连接
第12章：使用sqlmap优化注入
12.1、跳过低成功率的启发式测试
12.2、优化sqlmap性能
12.3、设置超时
12.4、处理请求和响应
第13章：保存和输出数据
13.1、保存HTTP数据包信息
13.2、处理输出数据
13.3、指定输出位置
13.4、会话管理
第14章：规避防火墙
14.1、设置安全模式
14.2、绕过CSRF防护
14.3、其他绕过防护系统的方式
14.4、使用脚本绕过防火墙