慕课网sqlmap学习笔记: 一.SQL注入 所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令. 例如 (1)在url上添加参数请求查询:http://index.com/?id=1 以上是通过url查询id为1的数据,但如果我们在后面传参这样写:http://index.com/?id=1' or '1'='1 那么执行的查询语句就是where xx='1' or '1'='1',这样查询的就是全部的数据. (2)…

六.优化 这些参数可以优化Sqlmap的性能. 1.一键优化 参数:-o 添加此参数相当于同时添加下列三个优化参数: --keep-alive --null-connection --threads=3 (如果没有设置一个更好的值) 这些参数具体含义见后文. 2.HTTP长连接 参数:--keep-alive 该参数让Sqlmap使用HTTP长连接.该参数与“--proxy”矛盾. 3.HTTP空连接 参数:--null-connection 有一种特殊的HTTP请求类型可以直接获得HTTP响应…

十八.杂项 1.使用简写 参数:-z 有些参数组合是被经常用到的,如“--batch --random-agent --ignore-proxy --technique=BEU”,这样写一大串很不好看,在Sqlmap中,提供了一种简写的方式来缩短命令长度. 利用参数“-z”,每个参数都可以只写前几个字母,如“--batch”可以简写为“bat”.简写的原则是能够有所区别.对应的参数唯一就行.各个参数用逗号隔开.如: python sqlmap.py --batch --random-agent…

十五.操作系统控制 1.执行任意操作系统命令 参数:--os-cmd和--os-shell 若数据库管理系统是MySQL.PostgreSQL或微软的SQL Server且当前用户有相关权限Sqlmap就能利用SQL注入执行任意的操作系统命令. 当数据库管理系统是MySQL或PostgreSQL时,Sqlmap会通过前面介绍过的文件上传功能上传一个包含用户自定义函数sys_exec()和sys_eval()的二进制共享库文件,然后创建这两个用户自定义函数,通过这两个函数之一来执行用户指定的命令.…

十二.列举数据 这些参数用于列举出数据库管理系统信息.数据结构和数据内容. 1.一键列举全部数据 参数:--all 使用这一个参数就能列举所有可访问的数据.但不推荐使用,因为这会发送大量请求,把有用和无用的信息都列举出来. 2.列举数据库管理系统信息 参数:-b或--banner 大多数的现代数据库管理系统都有一个函数或是环境变量能够返回数据库管理系统的版本号和最后的补丁级别以及底层的操作系统信息. 通常这个函数是version().环境变量是@@version,当然要看目标数据库管理系统了.使…

本文转自:https://blog.werner.wiki/sqlmap-study-notes-0/ 感谢作者的整理,如有侵权,立删 零.前言 这篇文章是我学习Sqlmap的用法时做的笔记,记录了Sqlmap的常见.基础用法. 学习的主要方法是阅读官方手册(sqlmap/doc/README.pdf). 一.Sqlmap是什么 Sqlmap是开源的自动化SQL注入工具,由Python写成,具有如下特点: 完全支持MySQL.Oracle.PostgreSQL.Microsoft SQL Ser…

转载:https://www.xuebuyuan.com/3182523.html 一.Monkey测试简介 Monkey测试是Android平台自动化测试的一种手段,通过Monkey程序模拟用户触摸屏幕.滑动Trackball.按键等操作来对设备上的程序进行压力测试,检测程序多久的时间会发生异常. 二.Monkey程序介绍 1) Monkey程序由Android系统自带,使用Java语言写成,在Android文件系统中的存放路径是:/system/framework/monkey.jar: 2…

转载自 http://blog.csdn.net/qq_35885203 1.界面操作模式打开jmeter 进入jmeter安装目录的bin目录下,双击“jmeter.bat”文件即可打开jmeter,操作界面如下 也可使用命令行模式来操作jmeter 测试计划的名称可自定义,更改后左侧列表随之发生改变 可以在“用户自定义变量”中定义全局变量 2.添加线程组 右键“测试计划”,选择“添加”—>“threads”—>“线程组”,即可添加一个线程组 新添加的线程组如下 线程数可以约略理解为虚拟用户…

转载自 http://www.cnblogs.com/yangxia-test 工具: 1,JMeter 2,Chrome 3,BlazeMeter 4,SwitchyOmega(如果需要代理) 步骤: 以上工具准备好以后就可以录制JMeter的测试脚本了, 在Chrome中点击BlazeMeter插件,出现下图: 可以为本次录制取一个名字,然后点击红色原点,开始录制脚本,然后开始录制你需要测试的功能. 每一次服务器请求,BlazeMeter插件的图标上的数字都会加一,可以清楚的看到你录制的步骤…

转载自 http://www.cnblogs.com/yangxia-test JMeter测试MongoDB性能有两种方式,一种是利用JMeter直接进行测试MongoDB,还有一种是写Java代码方式测试MongoDB性能. 第一种方法 1.编写Java代码,内容如下: package com.test.mongodb; import java.io.File; import java.io.FileOutputStream; import java.io.IOException; impo…