学 SQL 注入玩这些就够了

2022-05-23 11:12:28 浏览数 (1)

SQL 注入漏洞一直以来备受大家关注,虽然没有十年前那么多,但是还是有非常多的线上系统存在这样的安全问题,如今数据安全问题越来越受重视,而 SQL 注入漏洞能直接影响企业的数据安全。

对于初学者而言,如果想学习相关技术以及锻炼漏洞的测试和利用,有哪些靶场可以使用呢?今天给大家整理了几个关于 SQL 注入漏洞靶场的项目和线上环境。

0x01 sqli-labs

该项目包含 65 个漏洞案例,涉及技术非常全面,是个不错的练习靶场,需要自己搭建相关环境进行测试,项目地址:

https://github.com/Audi-1/sqli-labs

0x02 portswigger

portswigger 是著名安全工具 BurpSuite 的开发团队,他们提供了很多 web 漏洞练习的实验环境,需要登录之后才可以使用,项目地址:

https://portswigger.net/web-security/all-labs#sql-injection

0x03 hacksplaining

这个靶场比较适合初学者,一步一步的提示你如何操作,可以说是手把手教学了,项目地址:

https://www.hacksplaining.com/exercises/sql-injection

0x04 tryhackme

这是一个专注开发漏洞靶场的平台,当然也有 sql 注入相关的靶场环境,也是需要登录之后才可以使用,测试时会为你启动一个测试环境,项目地址:

https://tryhackme.com/room/sqlilab

0x05 snyk

这个平台对于各种漏洞的学习,以语言做分类,可以很好理解不同语言下的不同漏洞测试和利用,学习相关知识,结合代码来学习,能很好的理解漏洞原理,项目地址:

https://learn.snyk.io/lessons/sql-injection/java/

0x06 sqli-labs by vulnspy

这个也是个开源项目,包含 22 个漏洞案例,部分内容参考第一个实验项目,项目地址:

https://www.vulnspy.com/sqli-labs/

0x07 notsosecure

这个平台整理 27 个相关挑战,主要以视频和文档的方式来介绍不同环境下漏洞的利用,作为一个学习的资料还是不错的,项目地址:

https://notsosecure.com/sql-injection-lab

0x08 application.security

这个平台看着很不错,也是一步一步指引你去操作,从操作中学习知识,测试完之后给你展示漏洞代码,先会用再去理解原理,是个不错的学习环境,项目地址:

https://application.security/free-application-security-training/owasp-top-10-sql-injection

0x09 PHP7 版 sqli-labs

基于第一个 sqli-lab 项目,将所有代码适配到 php7 版本,涉及的技术和测试方法跟第一个项目相差无几,项目地址:

https://github.com/skyblueee/sqli-labs-php7

0x0A redtiger

这是一个在线共享的测试靶场,有很多人在用,一共十个关卡,项目地址:

http://redtiger.labs.overthewire.org/

0x0B NoSQLi Lab

之前的项目都是针对关系型数据库的利用,这个项目是针对非关系型数据库的漏洞环境,比如 redis、mongoDB 等,测试起来还是有所差别的,项目地址:

https://github.com/digininja/nosqlilab

0xFF 总结

参考资料不少,为了让大家的学习更简单,有很多前辈做了很多事儿,对于学习这个事儿,最终还得靠自己动手实践,理解背后之原理。

0 人点赞