學 SQL 注入玩這些就夠了

SQL 注入漏洞一直以來備受大家關注，雖然沒有十年前那么多，但是還是有非常多的線上系統存在這樣的安全問題，如今數據安全問題越來越受重視，而 SQL 注入漏洞能直接影響企業的數據安全。

對于初學者而言，如果想學習相關技術以及鍛煉漏洞的測試和利用，有哪些靶場可以使用呢？今天給大家整理了幾個關于 SQL 注入漏洞靶場的項目和線上環境。

0x01 sqli-labs

該項目包含 65 個漏洞案例，涉及技術非常全面，是個不錯的練習靶場，需要自己搭建相關環境進行測試，項目地址：

https://github.com/Audi-1/sqli-labs

0x02 portswigger

portswigger 是著名安全工具 BurpSuite 的開發團隊，他們提供了很多 web 漏洞練習的實驗環境，需要登錄之后才可以使用，項目地址：

https://portswigger.net/web-security/all-labs#sql-injection

0x03 hacksplaining

這個靶場比較適合初學者，一步一步的提示你如何操作，可以說是手把手教學了，項目地址：

https://www.hacksplaining.com/exercises/sql-injection

0x04 tryhackme

這是一個專注開發漏洞靶場的平臺，當然也有 sql 注入相關的靶場環境，也是需要登錄之后才可以使用，測試時會為你啟動一個測試環境，項目地址：

https://tryhackme.com/room/sqlilab

0x05 snyk

這個平臺對于各種漏洞的學習，以語言做分類，可以很好理解不同語言下的不同漏洞測試和利用，學習相關知識，結合代碼來學習，能很好的理解漏洞原理，項目地址：

https://learn.snyk.io/lessons/sql-injection/java/

0x06 sqli-labs by vulnspy

這個也是個開源項目，包含 22 個漏洞案例，部分內容參考第一個實驗項目，項目地址：

https://www.vulnspy.com/sqli-labs/

0x07 notsosecure

這個平臺整理 27 個相關挑戰，主要以視頻和文檔的方式來介紹不同環境下漏洞的利用，作為一個學習的資料還是不錯的，項目地址：

https://notsosecure.com/sql-injection-lab

0x08 application.security

這個平臺看著很不錯，也是一步一步指引你去操作，從操作中學習知識，測試完之后給你展示漏洞代碼，先會用再去理解原理，是個不錯的學習環境，項目地址：

https://application.security/free-application-security-training/owasp-top-10-sql-injection

0x09 PHP7 版 sqli-labs

基于第一個 sqli-lab 項目，將所有代碼適配到 php7 版本，涉及的技術和測試方法跟第一個項目相差無幾，項目地址：

https://github.com/skyblueee/sqli-labs-php7

0x0A redtiger

這是一個在線共享的測試靶場，有很多人在用，一共十個關卡，項目地址：

http://redtiger.labs.overthewire.org/

0x0B NoSQLi Lab

之前的項目都是針對關系型數據庫的利用，這個項目是針對非關系型數據庫的漏洞環境，比如 redis、mongoDB 等，測試起來還是有所差別的，項目地址：

https://github.com/digininja/nosqlilab

0xFF 總結

參考資料不少，為了讓大家的學習更簡單，有很多前輩做了很多事兒，對于學習這個事兒，最終還得靠自己動手實踐，理解背后之原理，如果你想要一個自我沉淀的工具，那么就加入成長平臺吧，一步一個腳印的將知識化為自己的技能。