## 0x00前言这次的漏洞是在掌控学习完后，跳槽到一家大数据公司项目中做的渗透测试发现的，在此记录并分享：## 0x01工具需求：软件：AWVS、burpsuite、sqlmap## 0x02扫描1、使用AWVS对项目地址进行全面扫描发现有sql注入漏洞，根据漏洞分析是基于POST请求的延时盲注：2、0x03使用burpsuite抓包，然后进行数据库、表、字段、内容，进行爆破3、数据库名称：4、

0x00前言预习完老师讲解的逻辑漏洞那一课后，就开始对自己所在单位的APP商城产生了邪恶的测试攻击欲望，哈哈哈哈，我们是一个小公司开发团队小，我觉得应该会有好多漏洞，所以断定一定会有所收获。0x01环境准备环境需求： 硬件：一台电脑、一部手机 软件：burpsuite环境搭建：首先打开burpsuite设置代理服务器地址，和端口号设置手机网络代理为手动，输入burpsuite设置的IP及端口号