文章详情

短信预约-IT技能 免费直播动态提醒

请输入下面的图形验证码

提交验证

短信预约提醒成功

常用的攻击手段SQL注入的示例分析

2023-06-27 10:44

关注

这篇文章主要介绍常用的攻击手段SQL注入的示例分析,文中介绍的非常详细,具有一定的参考价值,感兴趣的小伙伴们一定要看完!

一、概述

1. 攻击原理

SQL注入是较常见的网络攻击方式之一,主要针对WEB应用,利用程序员编写代码的疏忽,对于连接数据库的应用,通过重组SQL语句,使服务器执行恶意SQL代码,从而获取到非授权的权限和资料。京东 16年12月10日 泄露12G用户账号信息。SQL注入OWASP20132017中排名都是在首位。

(推荐课程:SQL教程)

2. 如何判断有没有SQL注入漏洞

(1) 单引号判断

针对get请求带整数参数的,请求参数:?id=1',如果页面报SQL运行错误,则可能存在SQL注入。

(2) 数字型判断

有缺陷的代码语句:

select * from table where id=3

如果提交参数?id= x and 1=1构造成如下SQL

select * from table where id=1 and 1=2

如果页面报SQL运行错误,则可能存在SQL注入

(3) 字符型判断

有缺陷的代码语句:

select * from table where id='x'

如果提交参数?id=x' and '1'='1构造如下SQL

select * from table where id= 'x' and '1'='1'

如果页面报SQL运行错误,则可能存在 SQL注入

2. 应对方案

二、觉见的SQL注入扫描工具

1. SQLIer

(1) 开源地址

github.com/BCable/sqlier

(2) 获取信息

./sqlier.sh -s 10 网址

(3) 参数

(4) 猜测表名字段

2. SQLmap

一款用来检测与利用SQL注入漏洞的工具。

安装:

pip install sqlmap

SQL注入点

可以提交SQL语句地方就是SQL注入点。想进入SQL注入,先找到SQL注入点。

python sqlmap.py -u "http://test/test.aspx?id=123"

3. jSky

国内深圳宇造诺赛公司出品的一款WEB漏洞扫描工具,收费软件。

4. Pangolin(穿山甲)

也是宇造诺赛的产品,专门进行SQL注入扫描。

5. iiscan 亿思

在线免费的网站漏洞检测平台,可以检测SQL注入漏洞、跨站漏洞等。

6. MDCSOFT WEB应用防火墙

集WEB防护、网页保护、负载均衡、应用交付一体的WEB整体安全防护设备。

以上是“常用的攻击手段SQL注入的示例分析”这篇文章的所有内容,感谢各位的阅读!希望分享的内容对大家有帮助,更多相关知识,欢迎关注编程网行业资讯频道!

阅读原文内容投诉

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

软考中级精品资料免费领

  • 历年真题答案解析
  • 备考技巧名师总结
  • 高频考点精准押题
  • 2024年上半年信息系统项目管理师第二批次真题及答案解析(完整版)

    难度     813人已做
    查看
  • 【考后总结】2024年5月26日信息系统项目管理师第2批次考情分析

    难度     354人已做
    查看
  • 【考后总结】2024年5月25日信息系统项目管理师第1批次考情分析

    难度     318人已做
    查看
  • 2024年上半年软考高项第一、二批次真题考点汇总(完整版)

    难度     435人已做
    查看
  • 2024年上半年系统架构设计师考试综合知识真题

    难度     224人已做
    查看

相关文章

发现更多好内容

猜你喜欢

AI推送时光机
位置:首页-资讯-后端开发
咦!没有更多了?去看看其它编程学习网 内容吧
首页课程
资料下载
问答资讯