公告:123目录网为广大站长提供免费收录网站服务,我们将免费进行到底,如需快审服务(10元/站)请联系站长QQ,可自助充值发布。

点击这里在线咨询客服
新站提交
  • 网站:346
  • 待审:7
  • 小程序:12
  • 文章:35791
  • 会员:90

几年前,SQL注入在世界范围内很流行,但现在,SQL注入仍然是最流行的攻击方法之一,营销人员为此头疼。当然主要是因为注入攻击的灵活性,一个目的,多条语句,多种编写方法。SQL注入可以分为工具和工艺两种。由于国际化,工具通常比手动注入效率高得多,但与手动注入相比,它们受到限制,因为它们没有针对性。

所有的输入都可能是有害的,有参数的地方都可能存在SQL注入。但是由于主题壁纸的限制,ftp头中的一些隐藏链接、API调用和参数往往被忽略。那么如何进行全面的SQL注入挖掘呢?在渗透测试中,无论注入工具多么强大,都会有局限性,手动注入可以解决这个弱点。当然,手动注入需要渗透者对数据库的语法有一定的了解。但是由于SQL注入的灵活性和多样性,如果详细讨论的话,恐怕可以写成单本书了。在这里,作者将选择最具代表性的例子进行论证。

注入遇到的一个常见情况是注入得到的加密密文无法求解。为了解决这个问题,这里解释几种可行的方法。(1)使用国外的搜索引擎,往往会有意想不到的收获,最常见的是facebook。(2)用Whois查出管理员邮箱,然后发邮件通知管理员更改密码。邮件内容无非是“我们是XXX检测中心,你的广播有风险。请立即更改管理员密码……”。(3)分析Cookie。有时加密的密文会出现在cookies中。这种情况下,cookies中的密文可以直接被管理员的密文替换。(4)在特定的注入环境中,原始密文有时可以被开封文替换。当然这种方法的执行条件比较苛刻,实践中很少遇到。(5)使用密码检索功能。使用秘密安全问题来检索密码是很常见的。在这种情况下,可以注入秘密安全问题的答案,然后使用密码检索功能成功登录目标帐户。(6)逻辑缺陷。比如一些登录功能、修改功能、密码检索功能等都是以密文的形式直接在数据包中传输的。这时可以用密文代替,这样就可以登录并更改密码了。

如何防护SQL注入攻击呢?

1.对代码进行过滤非法符号如之类的,对一些脚本标签scrpt以及img或frame都进行过滤和替换。

2.对一些函数变量直接进行强制定义,比如金额函数这里直接限定只能写入正整数类型的数值,那么其他的参数像姓名的话可以直接限定到只允许写入法语和日文的数值,其他的以此类推。

3.对一些带入数据库查询和更新的语句,一定要看看get或post过来的数据参数是否是直接把参数类型锁定好了的,防止被注入恶意语句导致被攻击。

4.如果对着代码方面的问题不懂得话可以到电台安全公司去寻求帮助,国内如SINESAFE,鹰盾安全,诚迈,用友网络等等。

标签:[db:tags]

下一篇:网络微信渗透测试技术如何快速学习

上一篇:报纸安全维护之前端xss攻击防御措施

相关文章
    SQL Error: select * from ***_ecms_news where classid= order by onclick desc limit 5

  575

注册时间:

网站:1 个   小程序:3 个  文章:12 篇

  • 346

    网站

  • 12

    小程序

  • 35791

    文章

  • 90

    会员

赶快注册账号,推广您的网站吧!
热门网站
最新入驻小程序

数独大挑战2018-06-03

数独一种数学游戏,玩家需要根据9

答题星2018-06-03

您可以通过答题星轻松地创建试卷

全阶人生考试2018-06-03

各种考试题,题库,初中,高中,大学四六

运动步数有氧达人2018-06-03

记录运动步数,积累氧气值。还可偷

每日养生app2018-06-03

每日养生,天天健康

体育训练成绩评定2018-06-03

通用课目体育训练成绩评定