目录
1.选项 --predict-output
2.选项--keep-alive
3.选项--null-connection
4.最大并发线程选项--threads
5.选项-o
1、选项 --predict-output
-
根据检测方法,比对返回值和统计表内容,不断缩小检测范围,提高检测效率
-
通过比对版本名、用户名、密码、privileges、role、数据库名称(如oracle会有自带哪些数据库,sqlserver会自带哪些数据库)、表名、列名的各自特征
-
与--threads参数不兼容
根据在/usr/share/sqlmap/txt/common-outputs.txt中的特征进行比对。
2、选项--keep-alive
- 长链接/持久连接,使用http(s)长链接,性能比较好
- 与--proxy参数不兼容
- 长链接避免重复建立连接的网络开销,但大量长连接会严重占用服务器资源
3、选项--null-connection
- 只获取响应页面的大小值,而非页面具体内容
- 通常用于盲注判断真/假,降低网络带宽消耗
- 与--text-only参数不兼容(基于页面内容的比较判断真/假)
4、最大并发线程选项--threads
- 盲注时每个线程获取一个字符(7次请求获取一个ascii码然后对应一个字符),获取完成后线程结束
- 默认值为1,建议不要超过10,否则可能影响站点可用性
- 与--predict-output参数不兼容
5、选项-o
开启前三个性能优化参数(除--threads参数)
网友评论