SQL 注入漏洞一直以来备受大家关注,虽然没有十年前那么多,但是还是有非常多的线上系统存在这样的安全问题,如今数据安全问题越来越受重视,而 SQL 注入漏洞能直接影响企业的数据安全。
对于初学者而言,如果想学习相关技术以及锻炼漏洞的测试和利用,有哪些靶场可以使用呢?今天给大家整理了几个关于 SQL 注入漏洞靶场的项目和线上环境。
0x01 sqli-labs
该项目包含 65 个漏洞案例,涉及技术非常全面,是个不错的练习靶场,需要自己搭建相关环境进行测试,项目地址:
https://github.com/Audi-1/sqli-labs
0x02 portswigger
portswigger 是著名安全工具 BurpSuite 的开发团队,他们提供了很多 web 漏洞练习的实验环境,需要登录之后才可以使用,项目地址:
https://portswigger.net/web-security/all-labs#sql-injection
0x03 hacksplaining
这个靶场比较适合初学者,一步一步的提示你如何操作,可以说是手把手教学了,项目地址:
https://www.hacksplaining.com/exercises/sql-injection
0x04 tryhackme
这是一个专注开发漏洞靶场的平台,当然也有 sql 注入相关的靶场环境,也是需要登录之后才可以使用,测试时会为你启动一个测试环境,项目地址:
https://tryhackme.com/room/sqlilab
0x05 snyk
这个平台对于各种漏洞的学习,以语言做分类,可以很好理解不同语言下的不同漏洞测试和利用,学习相关知识,结合代码来学习,能很好的理解漏洞原理,项目地址:
https://learn.snyk.io/lessons/sql-injection/java/
0x06 sqli-labs by vulnspy
这个也是个开源项目,包含 22 个漏洞案例,部分内容参考第一个实验项目,项目地址:
https://www.vulnspy.com/sqli-labs/
0x07 notsosecure
这个平台整理 27 个相关挑战,主要以视频和文档的方式来介绍不同环境下漏洞的利用,作为一个学习的资料还是不错的,项目地址:
https://notsosecure.com/sql-injection-lab
0x08 application.security
这个平台看着很不错,也是一步一步指引你去操作,从操作中学习知识,测试完之后给你展示漏洞代码,先会用再去理解原理,是个不错的学习环境,项目地址:
https://application.security/free-application-security-training/owasp-top-10-sql-injection
0x09 PHP7 版 sqli-labs
基于第一个 sqli-lab 项目,将所有代码适配到 php7 版本,涉及的技术和测试方法跟第一个项目相差无几,项目地址:
https://github.com/skyblueee/sqli-labs-php7
0x0A redtiger
这是一个在线共享的测试靶场,有很多人在用,一共十个关卡,项目地址:
http://redtiger.labs.overthewire.org/
0x0B NoSQLi Lab
之前的项目都是针对关系型数据库的利用,这个项目是针对非关系型数据库的漏洞环境,比如 redis、mongoDB 等,测试起来还是有所差别的,项目地址:
https://github.com/digininja/nosqlilab
0xFF 总结
参考资料不少,为了让大家的学习更简单,有很多前辈做了很多事儿,对于学习这个事儿,最终还得靠自己动手实践,理解背后之原理。