数据库 -- SQL注入攻击
SQL注入攻击_百度百科
概念
SQL注入攻击是黑客对数据库进行攻击的常用手段之一。随着B/S模式应用开发的发展,使用这种模式编写应用程序的程序员也越来越多。但是由于程序员的水平及经验也参差不齐,相当大一部分程序员在编写代码的时候,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。用户可以提交一段数据库查询代码,根据程序返回的结果,获得某些他想得知的数据,这就是所谓的SQL Injection,即SQL注入。
SQL注入攻击属于数据库安全攻击手段之一,可以通过数据库安全防护技术实现有效防护,数据库安全防护技术包括:数据库漏扫、数据库加密、数据库防火墙、数据脱敏、数据库安全审计系统。
SQL注入攻击会导致的数据库安全风险包括:刷库、拖库、撞库。
SQL注入是从正常的WWW端口访问,而且表面看起来跟一般的Web页面访问没什么区别,所以市面的防火墙都不会对SQL注入发出警报,如果管理员没查看ⅡS日志的习惯,可能被入侵很长时间都不会发觉。但是,SQL注入的手法相当灵活,在注入的时候会碰到很多意外的情况,需要构造巧妙的SQL语句,从而成功获取想要的数据。
思路
1、发现SQL注入位置
2、判断后台数据库类型
3、确定XP_CMDSHELL可执行情况
4、发现WEB虚拟目录
5、上传ASP木马
6、得到管理员权限
例子
1、某个网站的登录验证的SQL查询代码为:
strSQL = "SELECT * FROM users WHERE (name = '" + userName + "') and (pw = '"+ passWord +"');"
2、恶意填入
userName = "1' OR '1'='1";
与
passWord = "1' OR '1'='1";
3、导致原本的SQL字符串被填为
strSQL = "SELECT * FROM users WHERE (name = '1' OR '1'='1') and (pw = '1' OR '1'='1');"
4、也就是实际上运行的SQL命令会变成下面这样的
strSQL = "SELECT * FROM users;"
因此达到无账号密码,亦可登录网站。所以SQL注入攻击被俗称为黑客的填空游戏。
应对办法
从安全技术手段上来说,可以通过数据库防火墙实现对SQL注入攻击的防范,因为SQL注入攻击往往是通过应用程序来进攻,可以使用虚拟补丁技术实现对注入攻击的SQL特征识别,实现实时攻击阻断。
具体是加入对SQL语句的类型及字符内容判断。
数据库 -- SQL注入攻击相关推荐
- PHP的SQL注入攻击的技术实现以及预防措施
最近在折腾 PHP + MYSQL 的编程.了解了一些 PHP SQL 注入攻击的知识,总结一下经验.在我看来,引发 SQL 注入攻击的主要原因,是因为以下两点原因: 1. php 配置文件 php. ...
- SQL Server安全-加密术和SQL注入攻击
SQL Server上的加密术 SQL Server上内置了加密术用来保护各种类型的敏感数据.在很多时候,这个加密术对于你来说是完全透明的:当数据被存储时候被加密,它们被使用的时候就会自动加密.在其他 ...
- ADO.NET笔记——带参数的查询防止SQL注入攻击
相关知识: 把单引号替换成两个单引号,虽然能起到一定的防止SQL注入攻击的作用,但是更为有效的办法是把要拼接的内容做成"参数" SQLCommand支持带参数的查询,也就是说,可以 ...
- 防止sql注入攻击的方法总结
SQL注入是一种利用未过滤/未审核用户输入的攻击方法("缓存溢出"和这个不同),意思就是让应用运行本不应该运行的SQL代码.通过把SQL命令插入到Web表单递交或输入域名或页面请求 ...
- 第三百九十二节,Django+Xadmin打造上线标准的在线教育平台—sql注入攻击,xss攻击,csrf攻击...
第三百九十二节,Django+Xadmin打造上线标准的在线教育平台-sql注入攻击,xss攻击,csrf攻击 sql注入攻击 也就是黑客通过表单提交的地方,在表单里输入了sql语句,就是通过SQL语 ...
- jdbc之防sql注入攻击
1.SQL注入攻击: 由于dao中执行的SQL语句是拼接出来的,其中有一部分内容是由用户从客户端传入,所以当用户传入的数据中包含sql关键字时,就有可能通过这些关键字改变sql语句的语义,从而 ...
- php安全编程—sql注入攻击
原文:php安全编程-sql注入攻击 php安全编程--sql注入攻击 定义 SQL注入攻击指的是通过构建特殊的输入作为参数传入Web应用程序,而这些输入大都是SQL语法里的一些组合,通过执行SQL语 ...
- Java程序员从笨鸟到菜鸟之(一百)sql注入攻击详解(一)sql注入原理详解
前段时间,在很多博客和微博中暴漏出了12306铁道部网站的一些漏洞,作为这么大的一个项目,要说有漏洞也不是没可能,但其漏洞确是一些菜鸟级程序员才会犯的错误.其实sql注入漏洞就是一个.作为一个菜鸟小程 ...
- SQL注入攻击的种类和防范手段
观察近来的一些安全事件及其后果,安全专家们已经得到一个结论,这些威胁主要是通过SQL注入造成的.虽然前面有许多文章讨论了SQL注入,但今天所讨论的内容也许可帮助你检查自己的服务器,并采取相应防范措施. ...
最新文章
- java 实现违章_基于JAVA的车辆违章查询数据调用代码实例
- 数字图像处理领域的二十四个典型算法及vc实现、第一章
- 网页上的图片怎么提取出来_如何在网站上提取图片素材
- 话里话外:实现信息化综合集成需要经历的五个阶段
- dataBinding和retrofit的使用
- C++空间分配器简述学习笔记
- ALGO-146算法训练 4-2找公倍数
- php excel数据导出
- 常用1寸,2寸照片标准尺寸
- css样式给标签加上小手图标
- win11自带的照片查看器无法打印问题解决
- 通过修复VMware软件解决虚拟机无法识别到U盘设备的问题
- python菜鸟教程官网绘图-Python Tkinter 画布(Canvas)
- BZOJ 2006超级钢琴
- EasyMesh - A Two-Dimensional Quality Mesh Generator
- java nio rewind_java.nio.ByteBuffer中的flip()、rewind()、compact()等方法的使用和区别
- 关于global_step参数
- 基于Django框架的零食商城系统之Python毕设选题推荐
- 重装系统+驱动安装过程(win10,华为magicbook,清洁安装)
- 2016年校园招聘总结
热门文章
- Flutter CustomScrollView使用介绍
- linux建.php文件,怎么在Linux创建文件?
- 你还在用浏览器翻译?华为手机按下1个“神奇”按钮,一键轻松翻译
- 虹科案例|虹科物联网安全防护平台-Realtek RTL8195A Wi-Fi 模块的主要漏洞
- Python 抛出异常
- java springboot公益捐款众筹小程序源码
- 【css】CSS3有哪些新特性
- java flyway_Flyway详解以及Springboot集成Flyway(转)
- 【C语言】经典题目(二)
- 七天学会python量化交易(一)