版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
1、SQL Injection内容概要 SQL注入的定义及历史 SQL注入产生的原因 SQL注入的分类 SQL注入的过程 SQL注入的防御 SQL注入实例什么是SQL注入 SQL注入是这样一种漏洞:应用程序在向后台数据库传递SQL查询时,如果为攻击者提供了影响该查询的能力,就会引发SQL注入。 First Blood:在1998年的著名黑客杂志Phrack第54期,一位叫rfp的黑客发表了第一篇题为“NT Web Technology Vulnerabilities”的文章。 2012年,Barclaycard的一个代表声称97%的数据泄露都是由SQL注入引起的。2011年年尾和2012年年首,在
2、不到一个月的时间里,超过百万的网页遭受到SQL注入攻击。 2008年见证了由于SQL注入引起的经济失调,甚至在2010年秋季,联合国官方网站也遭受SQL注入攻击。 PHP:mysql_connect(“localhost”,”username”,”password”);mysql_select_db(“USERS”);$query=“SELECT id FROM user WHERE username =$_POST“username” ”.”AND password = $_POST“password”;$result=mysql_query($query);if($result)heade
3、r(“Location:admin.php”);elsedie (“Incorrect username or password,please tyr again.”);SQL注入产生的原因1、输入 admin 123SQL:SELECT id FROM user WHERE username = admin AND password = 123;2、输入 or 1=1 -SQL:SELECT id FROM user WHERE username = or 1=1 - AND password = ;SQL注入产生的原因 手工注入、工具注入 GET注入: http:/localhost/pr
4、oduct.php?id=123 POST注入: COOKIE注入: javascript:alert(document.cookie=id=+escape(“123); 盲注、旁注、Timing AttackSQL注入的分类 所谓“盲注”,就是在服务器没有错误回显时完成的注入攻击。 最常见的盲注验证方法是,构造简单的条件语句,根据返回页面是否发生变化,来判断SQL语句是否得到执行。盲注 旁注是,在字面上解释就是从旁注入,利用同一主机上面不同网站的漏洞得到webshell,从而利用主机上的程序或者是服务所暴露的用户所在的物理路径进行入侵。旁注2011年3月27日,一个名叫TinKode的黑客在
5、著名的安全邮件列表Full Disclosure上公布了一些他入侵所获得的细节。Timing AttackMySQL中,有一个BENCHMARK()函数,他是用于测试函数性能的。他有两个参数:BENCHMARK(count,expr)利用BENCHMARK()函数,可以让同一个函数执行若干次,使得结果返回的时间比平时要长;通过时间长短的变化,可以判断出注入语句是否执行成功。例如:id=1170 UNION SELECGT IF (SUBSTRING(current,1,1)=CHAR(119),BENCHMARK(500000,ENCODE(MSG,by 5 sec),null) FROM (Select Database() as current ) as tb1;Timing Attack猜: 1.判断是否能被注入2.猜哪种数据库3.猜表名4.猜字段名5.猜字段值SQL注入的一般过程
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 城镇污水处理厂及配套管网工程经济效益和社会效益分析报告
- 心理健康教育课:快乐成长心连心小学主题班会课件
- 售后服务合作协议签订通知(7篇)
- 关注2026年售后服务质量的改进建议函5篇范本
- 电子商务平台物流配送标准操作手册
- 安全知识竞赛:守护校园安全每一天小学主题班会课件
- 社区停电供电恢复与设施保障预案
- 企业网络建设与优化实施方案
- 对2026年广告投放计划的商洽函(6篇)范文
- 2026年煤矿瓦斯抽采考试题库及煤矿瓦斯抽采试题及解析
- 西充县多扶初级中学项目
- 【新教材】统编版(2024)八年级下册历史期中复习:小论文 专项练习题(含答案解析)
- 雨课堂学堂在线学堂云《学术英语:研究论文写作与演讲(北京航空航天)》单元测试考核答案
- 娄底市2026国家电网招聘考试-电工类综合能力试题(含答案)
- 《油气输送管道工程地质灾害防治设计规范》SYT 7040-2021
- 2026年医保结算流程培训课件
- 雨课堂学堂在线学堂云《观影之道:影视艺术赏析(南昌)》单元测试考核答案
- 宁德时代shl测评题库
- 服装零售店店务管理手册(标准版)
- (2025年)福建辅导员面试试题真题及答案
- 户内GIS无尘化安装典型施工方法
评论
0/150
提交评论