国产 无码 综合区,色欲AV无码国产永久播放,无码天堂亚洲国产AV,国产日韩欧美女同一区二区

  1. Toy模板網(wǎng)首頁
  2. >Toy博客

SQL注入測試-業(yè)務(wù)安全測試實(shí)操(10)

2年前作者:luozhonghua2000分類:Toy博客閱讀(16)違法舉報(bào)

這篇具有很好參考價(jià)值的文章主要介紹了SQL注入測試-業(yè)務(wù)安全測試實(shí)操(10)。希望對(duì)大家有所幫助。如果存在錯(cuò)誤或未考慮完全的地方,請(qǐng)大家不吝賜教,您也可以點(diǎn)擊"舉報(bào)違法"按鈕提交疑問。

SQL注入測試

測試原理和方法


SQL注入就是通過把SQL命令插入Web表單提交或輸入域名頁面請(qǐng)求的查詢字符串最終達(dá)到欺騙服務(wù)器執(zhí)行惡意的SOL命令的目的。具體來說,它是利用現(xiàn)有應(yīng)用程序,將(惡意)SOL命令注入后臺(tái)數(shù)據(jù)庫引擎執(zhí)行的能力,它可以通過在Web表單中輸入 (惡意)SOL 語句獲取一個(gè)存在安全漏洞的網(wǎng)站上的數(shù)據(jù)庫權(quán)限,而不是按照設(shè)計(jì)者的意圖去執(zhí)行SOL語句。下面通過一個(gè)經(jīng)典的萬能密碼登錄案例深入淺出地介紹SOL注入漏洞。SOL注入按照請(qǐng)求類型分為: GET型、POST型、Cookie注入型。GET與POST兩種類型的區(qū)別是由表單的提交方式?jīng)Q定的。按照數(shù)據(jù)類型可分為:數(shù)字型和字符型(數(shù)字也是字符,嚴(yán)格地說就是一類,區(qū)別在于數(shù)字型不用閉合前面的SQL語句,而字符型需要閉合)。測試方法分為報(bào)錯(cuò)型、延時(shí)型、盲注型、布爾型等。數(shù)字型注入 (一般存在于輸入的參數(shù)為整數(shù)的情況下,如 ID、年齡等) 測試方法如
第一步:正常請(qǐng)求,查看頁面。
第二步:在請(qǐng)求的參數(shù)后加and 1=1,如果可以添加執(zhí)行,則和第一步的返回頁面并無差異。
第三步:在請(qǐng)求參數(shù)后加and 1=2,如果返回頁面與第二步頁面明顯不同,或有所差異,則斷定存在數(shù)字型注入。
字符型注入(一般存在于接收的參數(shù)為字符串的情況下,如姓名、密碼等) 測試方法如下
第一步: 正常請(qǐng)求查看頁面(如查詢admin用戶信息,則返回admin用戶的信息)。

第二步:在查詢的參數(shù)后加’or 1=1(有時(shí)可以加--來注釋后面的語句),加單引號(hào)的目的是閉合前面的SOL語句并與后面的語句形成語法正確的SOL語句。如果可以添加并能夠執(zhí)行,則返回除 admin 用戶外所有用戶的信息。這時(shí)可以判斷存在字符型注入。

? 測試過程

攻擊者確定疑似的數(shù)字型注入鏈接,按照數(shù)字型手文章來源地址http://www.zghlxwxcb.cn/news/detail-487041.html

到了這里,關(guān)于SQL注入測試-業(yè)務(wù)安全測試實(shí)操(10)的文章就介紹完了。如果您還想了解更多內(nèi)容,請(qǐng)?jiān)谟疑辖撬阉鱐OY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章,希望大家以后多多支持TOY模板網(wǎng)!

本文來自互聯(lián)網(wǎng)用戶投稿,該文觀點(diǎn)僅代表作者本人,不代表本站立場。本站僅提供信息存儲(chǔ)空間服務(wù),不擁有所有權(quán),不承擔(dān)相關(guān)法律責(zé)任。如若轉(zhuǎn)載,請(qǐng)注明出處: 如若內(nèi)容造成侵權(quán)/違法違規(guī)/事實(shí)不符,請(qǐng)點(diǎn)擊違法舉報(bào)進(jìn)行投訴反饋,一經(jīng)查實(shí),立即刪除!

領(lǐng)支付寶紅包贊助服務(wù)器費(fèi)用

相關(guān)文章

  • Web安全:SQL注入漏洞測試.

    Web安全:SQL注入漏洞測試.

    SQL注入就是 有些 惡意用戶在提交查詢請(qǐng)求的過程中 將SQL語句插入到請(qǐng)求內(nèi)容 中,同時(shí)程序的本身對(duì)用戶輸入的內(nèi)容過于相信, 沒有對(duì)用戶插入的SQL語句進(jìn)行任何的過濾 ,從而 直接被SQL語句直接被服務(wù)端執(zhí)行 ,導(dǎo)致數(shù)據(jù)庫的原有信息泄露,篡改,甚至被刪除等風(fēng)險(xiǎn)。 SQL注

    2024年02月05日
    瀏覽(25)
  • 【網(wǎng)絡(luò)安全】「漏洞原理」(二)SQL 注入漏洞之理論講解

    【網(wǎng)絡(luò)安全】「漏洞原理」(二)SQL 注入漏洞之理論講解

    嚴(yán)正聲明:本博文所討論的技術(shù)僅用于研究學(xué)習(xí),旨在增強(qiáng)讀者的信息安全意識(shí),提高信息安全防護(hù)技能,嚴(yán)禁用于非法活動(dòng)。任何個(gè)人、團(tuán)體、組織不得用于非法目的,違法犯罪必將受到法律的嚴(yán)厲制裁。 【點(diǎn)擊此處即可獲取282G網(wǎng)絡(luò)安全零基礎(chǔ)入門學(xué)習(xí)資源】 信息搜集在

    2024年02月06日
    瀏覽(31)
  • 【網(wǎng)絡(luò)安全】「漏洞原理」(一)SQL 注入漏洞之概念介紹

    【網(wǎng)絡(luò)安全】「漏洞原理」(一)SQL 注入漏洞之概念介紹

    嚴(yán)正聲明:本博文所討論的技術(shù)僅用于研究學(xué)習(xí),旨在增強(qiáng)讀者的信息安全意識(shí),提高信息安全防護(hù)技能,嚴(yán)禁用于非法活動(dòng)。任何個(gè)人、團(tuán)體、組織不得用于非法目的,違法犯罪必將受到法律的嚴(yán)厲制裁。 SQL 注入(SQL Injection) 是一種常見的網(wǎng)絡(luò)攻擊技術(shù),它利用應(yīng)用程序

    2024年02月06日
    瀏覽(22)
  • 【網(wǎng)絡(luò)安全---sql注入(2)】如何通過SQL注入getshell?如何通過SQL注入讀取文件或者數(shù)據(jù)庫數(shù)據(jù)?一篇文章告訴你過程和原理。

    【網(wǎng)絡(luò)安全---sql注入(2)】如何通過SQL注入getshell?如何通過SQL注入讀取文件或者數(shù)據(jù)庫數(shù)據(jù)?一篇文章告訴你過程和原理。

    分享一個(gè)非常詳細(xì)的網(wǎng)絡(luò)安全筆記,是我學(xué)習(xí)網(wǎng)安過程中用心寫的,可以點(diǎn)開以下鏈接獲?。?超詳細(xì)的網(wǎng)絡(luò)安全筆記 本篇博客主要是通過piakchu靶場來講解如何通過SQL注入漏洞來寫入文件,讀取文件。通過SQL輸入來注入木馬來getshell等,講解了比較詳細(xì)的過程; 如果想要學(xué)習(xí)

    2024年02月07日
    瀏覽(27)
  • Web安全:SQL注入漏洞測試(防止 黑客利用此漏洞.)

    Web安全:SQL注入漏洞測試(防止 黑客利用此漏洞.)

    SQL注入就是 有些 惡意用戶在提交查詢請(qǐng)求的過程中 將SQL語句插入到請(qǐng)求內(nèi)容 中,同時(shí)程序的本身對(duì)用戶輸入的內(nèi)容過于相信, 沒有對(duì)用戶插入的SQL語句進(jìn)行任何的過濾 ,從而 直接被SQL語句直接被服務(wù)端執(zhí)行 ,導(dǎo)致數(shù)據(jù)庫的原有信息泄露,篡改,甚至被刪除等風(fēng)險(xiǎn)。 SQL注

    2024年02月13日
    瀏覽(22)
  • Web安全 SQL注入漏洞測試.(可以 防止惡意用戶利用漏洞)

    Web安全 SQL注入漏洞測試.(可以 防止惡意用戶利用漏洞)

    SQL注入就是 有些 惡意用戶在提交查詢請(qǐng)求的過程中 將SQL語句插入到請(qǐng)求內(nèi)容 中,同時(shí)程序的本身對(duì)用戶輸入的內(nèi)容過于相信, 沒有對(duì)用戶插入的SQL語句進(jìn)行任何的過濾 ,從而 直接被SQL語句直接被服務(wù)端執(zhí)行 ,導(dǎo)致數(shù)據(jù)庫的原有信息泄露,篡改,甚至被刪除等風(fēng)險(xiǎn)。 SQL注

    2023年04月20日
    瀏覽(25)
  • SQL注入實(shí)操三(SQLilabs Less41-65)

    SQL注入實(shí)操三(SQLilabs Less41-65)

    到目前為止,我總結(jié)了一下出現(xiàn)過的輪子,可以得出一個(gè)結(jié)論,首先需要知道有幾個(gè)參數(shù),前面6種都是單參數(shù)的,多參數(shù)的只能通過報(bào)錯(cuò)信息得知,用–+還是#也要看報(bào)錯(cuò)情況 ① n’ union select 1,2, ’ n可以是1,-1,n’后面可接),select后面看情況設(shè)置顯示位 ② \\\')–+ )可選,\\\'可換

    2024年02月13日
    瀏覽(20)
  • SQL注入實(shí)操(get、post基于報(bào)錯(cuò)的注入,sqlilabs靶場)

    SQL注入實(shí)操(get、post基于報(bào)錯(cuò)的注入,sqlilabs靶場)

    1、利用order by 判斷字段數(shù) 正確 ?id=1\\\'? 報(bào)錯(cuò) ?id=1\\\'?order by 3 --+? (編號(hào)為3正確)------可以看出為3個(gè)字段 (編號(hào)為4錯(cuò)誤) 2、union聯(lián)合注入?id=0(不存在這樣的記錄,查不到的意思)(報(bào)錯(cuò)) ?id=0\\\'?union select 1,2,3 --+? ? (聯(lián)合查詢前面查3個(gè)后面查3個(gè)) ?id=0\\\'?union select 1,database(),user() --+?

    2024年01月21日
    瀏覽(19)
  • SQL注入原理-POST注入

    SQL注入原理-POST注入

    ? ? ? ? 小伙伴們大家好!本期為大家?guī)淼氖荢QL注入原理之POST注入。 目錄 GET傳參與POST傳參 什么是POST注入? 實(shí)戰(zhàn)演示 一、判斷是否存在注入點(diǎn) 二、萬能密碼 三、判斷查詢字段個(gè)數(shù) 四、找出可以回顯的字段 五、爆出數(shù)據(jù)庫的數(shù)據(jù) 1、爆出數(shù)據(jù)庫版本和當(dāng)前數(shù)據(jù)庫的用戶

    2023年04月08日
    瀏覽(25)

  • SQL注入原理

    結(jié)構(gòu)化查詢語言(Structured Query Language,SQL),是一種特殊的編程語言,用于數(shù)據(jù)庫的標(biāo)準(zhǔn)數(shù)據(jù)查詢。1986 年10 月美國國家標(biāo)準(zhǔn)協(xié)會(huì)對(duì)SQL 進(jìn)行了規(guī)范后,以此作為關(guān)系型數(shù)據(jù)庫系統(tǒng)的標(biāo)準(zhǔn)語言。1987 年得到了國際標(biāo)準(zhǔn)組織的支持,成為了國際標(biāo)準(zhǔn)。 不過各種通行的數(shù)據(jù)庫系統(tǒng)在其

    2024年02月11日
    瀏覽(24)

覺得文章有用就打賞一下文章作者

支付寶掃一掃打賞

博客贊助

微信掃一掃打賞

請(qǐng)作者喝杯咖啡吧~博客贊助

支付寶掃一掃領(lǐng)取紅包,優(yōu)惠每天領(lǐng)

二維碼1

領(lǐng)取紅包

二維碼2

領(lǐng)紅包