大学课程《电力行业信息安全与攻防技术》教学PPT课件：[3.4.3]Tamper脚本.pptxVIP

Tamper脚本

任务导入任务目标任务讲解任务总结

必须用于授权测试场景

任务导入任务目标任务讲解任务总结

知识目标能力目标素养目标理解tamper脚本绕过WAF的技术原理能够根据电力业务场景选择合适的tamper策略培养网络安全风险意识

任务导入任务目标任务讲解任务总结

tamper脚本在进行SQL注入测试时修改或转换注入payload的插件绕过WAF（Web应用程序防火墙）或对注入payload进行编码和混淆，从而绕过一些检测和过滤机制

tamper脚本SQLMap在执行注入测试时会自动加载这些脚本，并在注入payload之前对其进行处理tamper脚本可以通过在SQLMap命令中使用--tamper参数指定/usr/share/sqlmap/tamper

tamper脚本tamper(payload,**kwargs)

tamper脚本URL编码Unicode编码注释添加大小写转换

经典案例sqlmap-uhttp::8089?id=1--tamperapostrophemask

tamper脚本的简述参数说明apostrophemask.py使用双重单引号代替单引号，绕过类似的过滤规则base64encode.py将注入字符串转换为Base64编码，试图绕过一些简单的过滤htmlencode.py使用HTML实体编码替换字符，绕过HTML或Web应用的过滤规