SQL 注入(SQL Injection) 是一种很老的但是常见的Web安全漏洞,攻击者通过构造恶意的SQL语句,篡改应用程序的数据库查询逻辑,从而窃取、修改或删除数据库中的数据,甚至获取服务器控制权限。
我们过去发现和使用SQL Injection漏洞时,都是用扫描器扫描、SqlMap等工具进行注射,如果工具没有发现或是无法利用,我们就需要手工了。
2025年了,我们用AI完成这些工作替代手工。我们需要用到一个工具,T00LS论坛里的作者MrE404bug写的AiSqlInjection;再就是DeepSeek的API了。
下载后,打开程序目录下的.env文件,添加如下配置:
DEEPSEEK_API_KEY=sk-80……
DEEPSEEK_API_URL = https://api.deepseek.com/v1/chat/completions
然后pip install -r requirements.txt,配置好工具需要的python包;再python app.py运行就可以了。下图我是用conda配置的。
一会功夫,你用浏览器打开本机的http://127.0.0.1:5000/就可以使用了。
你也可以在上图中直接配置DeepSeek的api,Api的url可以不写,代理用不用随便了。输入url点分析就可以了。我特意给了一个很多参数的url,注入点分析的还是很准确的,和AWVS扫描器扫描结果一致。
而且DeepSeek会给出深度分析,你也可以结合手工去试一下,不用到处去查资料了。
你如果需要工具,给我发个私信,私信里写aisql这5个字母就行了。至于此工具需要的python环境配置、DeepSeek的API申请,这里不谈,很容易的,经常看我文章的人都会。