大家好， 我是《Burpsuite实战指南》的作者，正在着手2024版的修订稿编写，欢迎关注我。

昨天，给大家分享了第一部分

今天分享的是第二部分，其他的知识库，请耐心等待几天。

1. 工具/平台/脚本/插件

• 自动化渗透工具

  • • SQLi-Hunter — HTTP代理和SQLMAP 接口封装，更易于使用

  • • SQLMap –http://sqlmap.org/  使用最广的工具

    • jSQL Injection – Java工具

    • BBQSQL – 专注于盲注的小工具

    • NoSQLMap –  NoSQL数据库工具，对标SQLMAP来的

    • Whitewidow – SQL注入漏洞扫描器

    • DSSS – 小巧的 SQLi注入漏洞扫描器

    • Blind-Sql-Bitshifting – 专注于盲注的小工具

    • Blisqy – 基于时间盲注工具 (MySQL/MariaDB)

    • Pangolin(穿山甲)、Havij(胡萝卜)   – 国人用得比较多的两款

• 学习环境/靶场平台

• • • 国产的靶场，中文

    • 网址：https://github.com/zhuifengshaonianhanlu/pikachu

  • • web安全漏洞靶场，包含SQL注入漏洞

    • DVWA  

    • 英文版:https://github.com/digininja/DVWA

    • 中文版:https://github.com/Basyaact/DVWA-Chinese

    • SQLi-Labs

  • • 原版网址：https://github.com/Audi-1/sqli-labs  ，经典款，美中不足是英文版

    • Docker版：https://github.com/realvect0r/sqli-labs-for-docker

    • WriteUp:https://www.gitbook.com/book/wangyihang/sqli-labs/details

    • SQLi-Labs 中文使用手册 ：https://github.com/lcamry/sqli-labs

• 其他资源

• 在线视频：

  • B站 ：https://www.bilibili.com/video/BV17W2oY2E2q/

  • A站 ：https://www.acfun.cn/v/ac14758219

  • 英文：https://notsosecure.com/sql-injection-lab

  • 字典类：

  • WAF绕过字典：

  • https://github.com/0xInfection/Awesome-WAF/blob/master/papers/Beyond%20SQLi%20-%20Obfuscate%20and%20Bypass%20WAFs.txt

  • All-in-One Fuzzing字典：https://github.com/PenTestical/sqli

  • Payload字典：https://github.com/payloadbox/sql-injection-payload-list

我们正在通过知识整理和自动化收集技术，网罗互联网优质的安全公开资料，为广大的网安从业者和安全爱好者，提供一个全面、系统的学习知识库（索引）。

如果你恰好不知道去哪里寻找网安学习资料，厌倦了辛苦下载半天却不能用的无力吐槽，那么你来关注我吧！