SQL注入漏洞[OWASP TOP 1]
文章目录
- 一、SQL注入漏洞[OWASP TOP 1]
- 二、SQL注入的位置
- 三、常见的防范方法
- 四、sql注入的危害
一、SQL注入漏洞[OWASP TOP 1]
所谓SQL注入,就是通过把SQL命令插入到Web表单中**[此处涉及到sql注入的点]**提交最终达到欺骗服务器执行恶意的SQL命令。
具体来说,它是利用现有的web应用程序,将(恶意的)SQL命令注入到后台数据库引擎,它可以通过在Web表单中输入(恶意)
SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句.
二、SQL注入的位置
通常情况下,SQL注入的位置包括:
(1)表单提交,主要是POST请求,也包括GET请求;
(2)URL参数提交,主要为GET请求参数;
(3)Cookie参数提交;
(4)HTTP请求头部的一些可修改的值,比如Referer、User_Agent等;
(5)一些边缘的输入点,比如.mp3文件的一些文件信息等。
三、常见的防范方法
(1)所有的查询语句都使用数据库提供的参数化查询接口,参数化的语句使用参数而不是将用户输入变量嵌入到SQL语句中。当前几乎所有的数据库系统都提供了参数化SQL语句执行接口,使用此接口可以非常有效的防止SQL注入攻击。
(2)对进入数据库的特殊字符(’”<>&*;等)进行转义处理,或编码转换。
(3)确认每种数据的类型,比如数字型的数据就必须是数字,数据库中的存储字段必须对应为int型。
(4)数据长度应该严格规定,能在一定程度上防止比较长的SQL注入语句无法正确执行。
(5)网站每个数据层的编码统一,建议全部使用UTF-8编码,上下层编码不一致有可能导致一些过滤模型被绕过。
(6)严格限制网站用户的数据库的操作权限,给此用户提供仅仅能够满足其工作的权限,从而最大限度的减少注入攻击对数据库的危害。
(7)避免网站显示SQL错误信息,比如类型错误、字段不匹配等,防止攻击者利用这些错误信息进行一些判断。
(8)在网站发布之前建议使用一些专业的SQL注入检测工具进行检测,及时修补这些SQL注入漏洞。
四、sql注入的危害
(1)数据库内的信息全部被外界窃取
(2)数据内容被篡改
(3)登录认证被绕过
(4)其他,例如服务器上的文件被读取或修改/服务器上的程序被执行
SQL注入漏洞[OWASP TOP 1]相关推荐
- 登录页面的SQL注入漏洞
一.环境准备 1.在Linux准备一套Xampp或者Phpstudy:模拟攻防 2.在vscode安装Rremote Development插件,进行远程调试 新添加主机 ssh root@192.1 ...
- SQL注入漏洞解决方法
本文只指针编码层次的SQL注入漏洞解决方法,例子代码是以java为主. 1,参数化的预编译查询语句 不安全例子 String query = "SELECT account_balance ...
- SQL注入漏洞全接触--高级篇
2019独角兽企业重金招聘Python工程师标准>>> 看完入门篇和进阶篇后,稍加练习,破解一般的网站是没问题了.但如果碰到表名列名猜不到,或程序作者过滤了一些特殊字符,怎么提高注入 ...
- Web安全之SQL注入漏洞学习(一)
Web程序三层架构 三层架构主要是指将业务应用规划为的表示层 UI.数据访问层 DAL 以及业务逻辑层 BLL,其分层的核心任务是"高内聚低耦合"的实现.在软件体系架构设计中,分层 ...
- web漏洞-SQL注入漏洞、目录遍历漏洞、文件下载漏洞
这里用到的是Pikachu漏洞练习平台 一.SQL注入漏洞-数字型注入 SQL注入漏洞简介 在owasp发布的top10排行榜里,注入漏洞一直是危害排名第一的漏洞,其中注入漏洞里面首当其冲的就是数据库 ...
- 从小白到web渗透工程师——零基础指南(2)sql注入漏洞
hello,各位小伙伴,在看过上一篇文章之后,想必大家伙对于web渗透工程师有了一定的了解,那么,作为一名渗透工程师,挖洞,就是我们的日常工作中必不可少的一部分了.在安全圈中,如果你挖的洞危险系数够高 ...
- sql注入漏洞和sqlmap的使用
目录 什么是sql漏洞: sql语言: 数据库和网页用户请求的原理: sql注入原理: sql注入检测: sql注入检测工具: 实例演示: 漏洞防御 什么是sql漏洞: 这边采用了皮卡丘的sql漏洞的 ...
- SQL注入漏洞攻防必杀技
SQL注入是常见的利用程序漏洞进行攻击的方法,是很多入门级"黑客"喜欢采用的攻击方式,近来网上 对它的讨论很热烈,所以我在本期专题中为读者揭示SQL攻击的主要原理以及如何防范这种攻 ...
- [转]SQL注入漏洞攻防必杀技
SQL注入是常见的利用程序漏洞进行攻击的方法,是很多入门级"黑客"喜欢采用的攻击方式,近来网上 对它的讨论很热烈,所以我在本期专题中为读者揭示SQL攻击的主要原理以及如何防范这种攻 ...
最新文章
- 无法执行 FunctionImport“entitys.xx”,因为未将它映射到存储函数。EF
- MySQL高级 - 日志 - 二进制日志(statement)
- elementui表格-改变某一列的样式
- NGINX内容缓存配置
- C语言课后习题(33)
- linux 下挂载光驱
- SQUEEZENET: ALEXNET-LEVEL ACCURACY WITH 50X FEWER PARAMETERS AND 0.5MB MODEL SIZE
- 浏览器的工作原理:新式网络浏览器幕后揭秘(转)
- 2019华为杯研究生数学建模竞赛总结(E题 国一)
- opencv查看版本路径
- 【离散数学】求闭包的例题
- PS用套索工具抠图,并修改背景颜色
- UMTS基础知识汇总
- 80004005错误代码_关于访问共享时出现80004005错误
- 2019最新天善智能python3数据分析与挖掘项目实战(完整)
- 合肥工业大学机器人技术实验五十六题
- 可视化拖拽组件库一些技术要点原理分析(三)
- 编译ORB-SLAM2遇到的问题及解决方法
- python培训班价格-少儿编程培训机构哪家好,儿童编程价格多少钱?家长知多少...
- mybatis从入门到精通(刘增辉著)-读书笔记第四章