手动发现MySQL SQL注入漏洞的步骤如下:
输入参数的注入测试:在网站的输入框、搜索框等地方,尝试输入一些SQL语句,如’ or ‘1’='1等进行测试,看是否能够成功执行SQL语句。
URL参数的注入测试:在网站的URL参数中尝试添加一些SQL语句,如?id=1’ or ‘1’='1等进行测试,看是否能够成功执行SQL语句。
Cookie注入测试:在网站的Cookie中尝试添加一些SQL语句,如id=1’ or ‘1’='1等进行测试,看是否能够成功执行SQL语句。
POST和GET参数的注入测试:使用Burp Suite等工具拦截网站的请求,修改POST和GET参数中的值,尝试注入SQL语句进行测试。
错误信息的利用:利用网站返回的错误信息,查看是否包含了SQL语法错误等信息,从而判断是否存在SQL注入漏洞。
时间延迟测试:利用SQL注入漏洞进行时间延迟测试,通过sleep()等函数来判断是否存在SQL注入漏洞。
UNION注入测试:尝试使用UNION查询来检测SQL注入漏洞,通过联合查询来获取数据库中的数据。
通过以上步骤可以手动发现MySQL SQL注入漏洞,及时修复漏洞以保护网站安全。