从一个数字型注入认识SQL漏洞
1、先打开pikachu界面点开SQL inject
2、选择post选项中的用户然后查询,pikachu会给我们一个邮箱地址
接着我们可以猜测一下后端是如果查询验证这个用户名的正确性,我们可以打开记事本记录一下自己所猜想的一些事项,然后去pikachu数据库中我们可以尝试一下自己猜测的是否正确
紧接着我们从burpsuite里面会发现post的请求然后我们可以将它发送到repeater
接着我们在id出输入我们想要尝试的,发现会把除了一开始输入的邮箱地址全都显示出来,那么后端验证的方式就是数字型