黑客常说的SQL注入是什么东西?

黑客常说的SQL注入是什么东西?再PS:安全犀牛接受投稿啦,欢迎大家踊跃参与!可获得与大咖亲密接触及安全展会周边福利哦。后台回复:SQL,可以得到《SQL注入攻击与防御》,一本

大家好,欢迎来到IT知识分享网。

黑客常说的SQL注入是什么东西?

(图片源于网络,侵删)

再PS:安全犀牛接受投稿啦,欢迎大家踊跃参与!可获得与大咖亲密接触及安全展会周边福利哦。

后台回复:SQL,可以得到《SQL注入攻击与防御》,一本安全工程师常备手边的工具书。

Secwiki上的web安全路线图。全学完就是一个合格的web安全工程师了!

1

什么是SQL注入

关于SQL注入的概念,可以看一下历史文章:黑客常说的SQL注入到底是什么东西?丨基础向。下面我们说一下SQL注入原理。

原理分析:假设如下URL存在漏洞

http://www.xxx.com/xx.asp?id=123

构造数据库原型:

select * from table_name where id=1

那么提交:

http://www.xxx.com/xx.asp?id=123 and [查询语句]

select * from table_name where username=‘or’=‘or’ And pass=‘or’=’or’

这样,如果页面和id=123返回相同的结果,就说明附加查询条件成立,如果不同,就说明不成立。

黑客常说的SQL注入是什么东西?

2

SQL注入判断方法

利用该方法,可以修改网站的商品价格。使用示例,可以看一下:黑客入门丨SQL注入攻击及思路延伸,webug靶场实战

第一步先把IE菜单=>工具=>Internet选项=>高级=>显示友好 HTTP 错误信息前面的勾去掉。否则,不论服务器返回什么错误,IE都只显示为HTTP 500服务器错误,不能获得更多的提示信息。

简单判定有无漏洞: 粗略型:提交单引号’

逻辑型(数字型注入):and 1=1 / and 1=2

逻辑型(字符型注入):’ and ‘1’=’1 / ‘ and ‘1’=’2

逻辑型(搜索型注入): 关键字%’ and 1=1 and ‘%’=’% / 关键字%’ and 1=2 and ‘%’=’%

危害:获取数据库信息,脱裤,获取服务器权限,植入webshell,获取服务器后门,读取服务器敏感文件等。

黑客常说的SQL注入是什么东西?

3

常见SQL注入工具

目前流行的注入工具有:SQLMap、Pangolin(穿山甲)、Havij、阿D等。

SQLMap下载地址:http://sqlmap.org/

Pangolin下载地址:http://www.pc0359.cn/downinfo/62741.html

Havij下载地址:http://www.pc0359.cn/downinfo/62761.html

阿D下载地址:http://dl.pconline.com.cn/download/456021.html

以上软件安全不保证,测试请在虚拟机进行。

黑客常说的SQL注入是什么东西?

安全犀牛

资讯、交流、入群点关注

免责声明:本站所有文章内容,图片,视频等均是来源于用户投稿和互联网及文摘转载整编而成,不代表本站观点,不承担相关法律责任。其著作权各归其原作者或其出版社所有。如发现本站有涉嫌抄袭侵权/违法违规的内容,侵犯到您的权益,请在线联系站长,一经查实,本站将立刻删除。 本文来自网络,若有侵权,请联系删除,如若转载,请注明出处:https://yundeesoft.com/49018.html

(0)

相关推荐

发表回复

您的电子邮箱地址不会被公开。 必填项已用 * 标注

关注微信