sql盲注解决方案

sql盲注解决方案

ID:23076458

大小:22.53 KB

页数:32页

时间:2018-11-03

sql盲注解决方案_第1页
sql盲注解决方案_第2页
sql盲注解决方案_第3页
sql盲注解决方案_第4页
sql盲注解决方案_第5页
资源描述:

《sql盲注解决方案》由会员上传分享,免费在线阅读,更多相关内容在应用文档-天天文库

1、自从人类进入商品经济社会以来,贸易即已成为人们日常活动的主要部分,并成为一国经济增长的主动力。国际分工的深化、大量国际统一标准规则的建立sql盲注解决方案  篇一:景安安全培训-SQL注入漏洞-盲注  SQL注入漏洞  一.漏洞说明  1.SQL注入定义  SQL注入攻击(SQLInjection),简称注入攻击,SQL注入是web开发中最常见的一种安全漏洞。SQL注入漏洞可以用来从数据库获取敏感信息,或者利用数据库的特性执行添加用户,导出文件等一系列恶意操作,甚至有可能获取数据库乃至系统最高权限  注入漏洞原理  由于程序没有过滤用

2、户的输入,攻击者通过响服务器提交恶意的SQL查询语句,应用程序接收后错误的将攻击者的输入作为原始SQL查询语句的一部分执行,导致改变了程序原始的SQL查询逻辑,额外的执行了攻击者构造的SQL查询语句  注入实例:  假设用户登录时其中一个SQL语句为:SELECTFROMtabloginstbWHERE  =""ANDpasswd="";  引号””内部,既是是我们登录时填写的用户名或密码。假如用户名、密码框内我们输入:随着信息化和全球化的发展,国家及地区之间的贸易也已成为拉动一国经济的三驾马车之一,甚至是三驾马车之首,奥巴马政府成立

3、之日起自从人类进入商品经济社会以来,贸易即已成为人们日常活动的主要部分,并成为一国经济增长的主动力。国际分工的深化、大量国际统一标准规则的建立  1”or”1”=”1或者1”or”1”=”1”--  MYSql中的执行结果分别如下:  (1)输入1”or”1”=”1,此语句永远都能正确执行,用户轻易骗过系统,获取合法身份。  (2)输入1”or”1”=”1”--,用户名中输入此语句,不管语句后有什么条件,都会正确执行,获取合法身份。  二.SQL注入的位置  无论是内网环境还是外网环境(互联网),B/S架构的Web应用(以下指网站)都

4、直接或者间接地受到各种类型的Web攻击的影响。  对于后台数据库来说,以SQL注入攻击危害最为普遍,由于网站服务端语言自身的缺陷与程序员编写代码的安全意识不足,攻击者可以将恶意SQL语句注入到正常的数据库操作指令中去,从而使该恶意SQL语句在后台数据库中被解析执行。  在SQL注入攻击之前,首先要找到网站中各类与数据库形成交互的输入点。通常情况下,一个网站的输入点包括:  1.  2.  3.  4.  5.表单提交,主要是POST请求,也包括GET请求。随着信息化和全球化的发展,国家及地区之间的贸易也已成为拉动一国经济的三驾马车之一

5、,甚至是三驾马车之首,奥巴马政府成立之日起自从人类进入商品经济社会以来,贸易即已成为人们日常活动的主要部分,并成为一国经济增长的主动力。国际分工的深化、大量国际统一标准规则的建立URL参数提交,主要为GET请求参数。Cookie参数提交。HTTP请求头部的一些可修改的值,比如Referer、User_Agent等。一些边缘的输入点,比如.mp3文件的一些文件信息等。  服务端从客户端直接或间接获取数据的过程都是一次输入过程,无论直接或间接,默认情况下输入的数据都应该认为是不安全的。  上面列举的几类输入点,只要任何一点存在过滤不严,过

6、滤缺陷等问题,都有可能发生SQL注入攻击。大多数情况下,SQL注入的过程都是由工具完成的,其中包括大批量注入工具的使用。  三.SQL注入的危害  这些危害包括但不局限于:  ?  ?  ?  ?  ?  ?数据库信息泄漏:数据库中存放的用户的隐私信息的泄露。网页篡改:通过操作数据库对特定网页进行篡改。网站被挂马,传播恶意软件:修改数据库一些字段的值,嵌入网马链接,进行挂马攻击。数据库被恶意操作:数据库服务器被攻击,数据库的系统管理员帐户被窜改。随着信息化和全球化的发展,国家及地区之间的贸易也已成为拉动一国经济的三驾马车之一,甚至是三

7、驾马车之首,奥巴马政府成立之日起自从人类进入商品经济社会以来,贸易即已成为人们日常活动的主要部分,并成为一国经济增长的主动力。国际分工的深化、大量国际统一标准规则的建立服务器被远程控制,被安装后门。经由数据库服务器提供的操作系统支持,让黑客得以修改或控制操作系统。破坏硬盘数据,瘫痪全系统。  四.常见的SQL注入测试工具  ?  ?Pangolin,/Products/scrawlr/  五.SQL注入漏洞的解决方案  解决SQL注入问题的关键是对所有可能来自用户输入的数据进行严格的检查、对数据库配置使用最小权限原则。  1.所有的查

8、询语句都使用数据库提供的参数化查询接口,参数化的语句使用参数而不是将用户输入变量嵌入到SQL语句中。当前几乎所有的数据库系统都提供了参数化SQL语句执行接口,使用此接口可以非常有效的防止SQL注入攻击。  2.对进入数据

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。