web渗透-sql注入
2024-08-24 11:42:03
何为sql注入
所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令,得到想要得到的信息。
OWASPTop 10
此处的注入指:将不受信任的数据作为命令或查询的一部分发送到解析器时,会产生诸如SQL注入、NoSQL注入、OS 注入和LDAP注入的注入缺陷。攻击者的恶意数据可以诱使解析器在没有适当授权的情况下执行非预 期命令或访问数据。其中包含了sql注入。
OWASP组织每三年发布一次Top10的数据来看注入一直位于榜首,可以看出sql注入对于web安全非常重要的。
sql注入的类型有哪些呢?
- 从注入点的参数看可以分为:数字型注入和字符型注入。
- 从注入的语法分类:
| Error-based SQL injection(报错型注入) |
| Boolean-based blind SQL injection(布尔型注入) |
| Time-based blind SQL injection(基于时间延迟注入) |
| UNION query SQL injection(可联合查询注入) |
在之后我会通过实例一一说明
查找sql注入的工具:
sqlmap,这是一款python写的工具,kali系统自带,使用简单,没有之一,需要其他可以自己扩展。至于其他的我只能说just so so了。
最新文章
- arch 安装图形界面
- 前端这条路怎么走,作为一名后端er,说说我的见解
- SDRAM操作原理分析
- 概率DP light oj 1030
- android onNewIntent
- iOS边练边学--GCD的基本使用、GCD各种队列、GCD线程间通信、GCD常用函数、GCD迭代以及GCD队列组
- 如何发布使用LGPL版Qt的商业软件
- Cxf -Wsdl2java详细参数附录
- 【转载】VC++中的图像类型转换--使用开源CxImage类库
- 关于callContext
- 一个IT学生的personal statement
- mysql为什么范围查询(>,<,between,%like,like%)之后的索引无效
- Angularjs $http服务的两个request安全问题
- WebGL three.js学习笔记 纹理贴图模拟太阳系运转
- LeetCode.数字转罗马数字
- 2-5 R语言基础 factor
- Linux内核分析第二周学习笔记
- 题目1454:Piggy-Bank(完全背包问题)
- 老毛桃PE修改方法(屏蔽更改主页,屏蔽加装的绿色浏览器)
- dede 复制文章,远程图片无法本地化