【网络安全】一次sql注入问题的处理

目录

问题

10.60.100.194，修改之前

修改方案

问题解决

测试过程 

问题思考与总结

---

问题

一次sql注入问题的筛查报告，主要是sql注入的问题资源-CSDN文库

 doc-new\20-设计文档\34-Mesh设备管理\100-网络安全

10.60.100.194，修改之前

修改方案

问题解决

测试过程 

python 27 配合windows下的sqlmap

 C:\Python27\sqlmap>sqlmap.py -r 1.txt --level 3 -batch -dbs

POST /web/product HTTP/1.1
Content-Type: application/json;charset=UTF-8
Accept: application/json, text/plain, */*
X-Requested-With: XMLHttpRequest
Referer: https://www.gbcom.com.cn/
Content-Length: 67
Accept-Encoding: gzip,deflate,br
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/119.0.0.0 Safari/537.36
Host: www.gbcom.com.cn
Connection: Keep-alive
 
{"mainMenuAction":"/index","id":"1*"}

问题思考与总结

（1）在进行问题解决之前，我们发现 ，即使我们已经在后能进行了打印，确保了不会有sql注入问题。如下。

但在当时 ，依然 会有被 -dbs扫描而出的数据库 

思考：经过程序的打印，已经没有了不正确的sql注入；但依然可以dbs扫描打印出数据库信息 ，有可能是缓存的信息，前面扫描出来的数据库信息！

（2）将sqlmap的缓存文件，如下，其中session.sqlite进行取出，用chat2db打开。发现其中的缓存 信息。如下列各图

这个时候，将sqlmap下的这个缓存文件移除，再探测，就正常了！