资源描述:
《tds防sql脚本注入攻击检测测验》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库。
1、TDS防SQL注入或脚本攻击测试一、大秦TDS防SQL注入测试结构大秦TDS防SQL注入测试结构由TDS系统、1台Web服务器、1台管理控制终端、1台攻击终端和互联网环境组成.网络结构图如下:矚慫润厲钐瘗睞枥庑赖。其中Web服务器(192.168.254.92)存在2种web应用,一种是“大秦TDS系统防SQL注入模拟Web服务器”,访问网址是:http://192.168.254.92/dqbbs/;一种是“大秦TDS防SQL注入测试网站”,访问网址是:http://192.168.254.92:8080/edu/.大秦TDS
2、系统防SQL注入模拟Web服务器是种bbs论坛,通过各种SQL注入,普通注册用户能够跳过用户名密码检测获取论坛用户数据,同时通过发帖挂上恶意脚本,获取访问者地cookies信息和将访问者访问页面定向指定地url等恶意行为.首页显示如下图:聞創沟燴鐺險爱氇谴净。大秦TDS防SQL注入测试网站是种模拟在线远程教育网站,访问者可以通过构造脚本作为url地址,获取目标服务器地操作系统类型、数据库类型等资源信息.首页显示如下图:残骛楼諍锩瀨濟溆塹籟。二、TDS防SQL脚本注入攻击测试用例2.1跳过用户名密码登陆验证地SQL注入2.1.1没
3、有TDS保护情况下地SQL注入A,使用正确地用户名和密码正常登陆;使用正确地用户名和密码可以正常登陆.B,使用不正确地用户名或密码登陆;错误地用户名或密码验证失败.C,使用带SQL语句地用户名和任意密码登陆(包括空密码);空密码登陆:使用带SQL语句地用户名和空密码可以登陆.非空密码登陆:在使用带SQL语句地用户名情况下可以使用任意密码登陆验证.2.1.2有TDS保护情况下地SQL注入A,使用带SQL语地用户名登陆;输入带有SQL语句地用户名被TDS检测到,给予用户提示及对行为进行阻止,最终无法打开网页.其中TDS防SQL注入模
4、块配置如下图:TDS流量统计如下图:2.2获取用户数据信息地SQL注入2.2.1没有TDS保护情况下地SQL注入A,输入存在地用户编号进行查询;输入存在地用户编号进行查询,可以查询到对应用户编号地信息.B,输入不存在地用户编号进行查询;由于不存在该用户编号,所以没有相关用户信息显示.C,输入带SQL语句地用户编号地数据进行查询;输入带SQL语句地用户编号进行查询后,可以查询到所有用户编号地信息.2.2.2有TDS保护情况下地SQL注入A,输入带SQL语句地职业编号地数据进行查询;输入带有SQL语句地用户编号被TDS检测到,给予用
5、户提示及对行为进行阻止,最终无法打开网页.其中TDS防SQL注入模块配置如下图:TDS流量统计如下图:2.3恶意重定向网站地脚本跨站攻击2.3.1没有TDS保护情况下地脚本跨站攻击A,打开Web服务器首页,注册一个论坛用户,进入某个论坛板块发表论坛文章;B,在文本输入框输入下列内容:“”,点击提交,成功发表论坛帖子;酽锕极額閉镇桧猪訣锥。C,打开首页
6、,点击标题为“跨连接演示”地论坛帖子;D,弹出跨站攻击提示对话框,同时网页转到百度首页.2.3.2有TDS保护情下地脚本跨站攻击A,打开Web服务器首页,注册一个论坛用户,进入某个论坛板块发表论坛文章;B,在文本输入框输入下列内容:“”,点击提交,弹出TDS防SQL注入安全警告,内容发表失败;彈贸摄尔霁毙攬砖卤庑。其中TDS防SQL注入模块配置如下图
7、:TDS数据流量统计如下图:2.4获取访问者地cookies信息地SQL注入2.4.1没有TDS保护情况下地SQL注入A,打开Web服务器首页,注册一个论坛用户,进入某个论坛板块发表论坛文章;B,在文本输入框输入下列内容:“你地Cookit信息已经被获取,信息就显示新打开地窗口”,点击提交,成功发表论坛
8、帖子;謀荞抟箧飆鐸怼类蒋薔。C,打开首页,点击标题为“获取访问者地cookies信息演示”地论坛帖子;D,弹出一个标题为“访问者地cookies信息”地新窗口,同时弹出“你中招了,^_^”地对话框提示;打开地帖子内容并不会显示脚本里地内容,只是显示纯文本内容,如