渗透测试第一章:sql注入概述

于 2024-07-20 14:23:31 发布
阅读量241 收藏 2
点赞数 8
分类专栏: 渗透测试初级 文章标签: sql 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2201_75373553/article/details/140570682
版权

sql注入产生的原因

  • 漏洞产生的主要原因是服务器对用户输入的信息没有做过滤。

  • 攻击者通过构造特殊的 SQL 语句,入侵目标系统,致使后台数据库泄露数据的过程。

SQL注入的分类

以注入的技术分

  • 普通注入(union 联合注入)

  • 盲注(布尔型,时间型)

  • 报错注入

  • 宽字节注入

  • 二次注入

  • 二次编码注入

以注入的位置分类

  • GET 注入

    • 可通过安装浏览器插件(hackbar)或直接通过浏览器地址栏提交。

  • POST 注入

    • 可通过安装浏览器插件(hackbar)或 Burpsuite 来完成。

  • Cookie 注入

    • GET 和 POST 如果被过滤,可以试试。

    • 一般通过 Burpsuite 来完成,修改 Cookie 进行注入。

  • UA 注入

    • 一般通过 Burpsuite 来完成,修改 UA 进行注入。

  • ......

以注入的参数类型分类

  • 数字注入

    • 当输入的参数为整型时,如 ID、年龄、页码等,如果存在注入漏洞,则可以认为是数字型注入。

  • 字符注入

    • 当输入参数为字符串时,称为字符型。数字型与字符型注入最大的区别在于:数字型不需要引号闭合,而字符串类型一般要使用引号或其他符号来闭合。

  • 搜索注入

    • 当在搜索框注入的时候,称为搜索型。搜索类型一般要使用百分号进行闭合。

萧叭菜学安全
关注
  • 8
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
sql注入知识点整理(基础版)
07-21 189
sql注入知识点整理(基础版) 基本步骤 判断是否报错 判断闭合符号 判断注入类型 构建payload 手工注入或者编写脚本 基本注入类型 报错型注入 floor公式(结果多出一个1):and (select 1 from (select count(*),concat((payload),floor(...
sql注入之必备的基础知识
thesiege的博客
12-06 528
什么是SQL注入SQL Injection)所谓SQL注入式攻击,就是攻击者把SQL命令插入到Web表单的输入域或页面请求的查询字符串,欺骗服务器执行恶意的SQL命令。在某些表单中,用户输入的内容直接用来构造(或者影响)动态SQL命令,或作为存储过程的输入参数,这类表单特别容易受到SQL注入式攻击。 mysql常用注释# --[空格]或者是--+ /*…*/ 在注意过程中,这些注释可能都需要进行u
sql注入基础知识
kevin_hjw的博客
07-04 564
一、原理   SQL注入攻击指的是通过构建特殊的输入作为参数传入Web应用程序,而这些输入大都是SQL语法里的一些组合,通过执行SQL语句进而执行攻击者所要的操作,其主...
SQL注入基础知识
最新发布
weixin_62715196的博客
01-10 877
对于 Web 应用程序而言,用户核心数据存储在数据库中,例如:MySQLSQL Server、Oracle 等。通过 SQL 注入攻击,可以获取、修改、删除数据库信息,并且通过提权来控制 Web 服务器等其他操作。SQL 注入由研究员 Rain Forest Puppy 发现,在 1998 年对外发表文章 《NT Web Technology Vulnerabilities》。漏洞产生的主要原因是服务器对用户输入的信息没有做过滤。
第一章 Web安全概述1
08-03
* 黑客攻击:黑客可能会使用各种手段攻击Web应用程序,例如SQL注入、跨站脚本攻击等。 * 恶意软件:恶意软件可能会感染Web应用程序,导致安全漏洞。 * 人为错误:人为错误可能会导致Web安全漏洞,例如弱密码、未更新...
渗透测试基础教程_ppt.rar
07-12
这一章专注于Web应用的安全测试,涵盖SQL注入、XSS跨站脚本、文件包含漏洞等常见问题。我们将学习如何利用Burp Suite等工具进行HTTP请求的拦截和篡改,以及如何识别和利用这些漏洞。 第5章:密码学与破解 在渗透...
第8章 软件安全开发生命周期概述.ppt
04-27
在处理SQL查询时,推荐使用预编译语句以防止SQL注入攻击,避免在客户端使用JavaScript进行数据验证,因为其易被绕过。 ### 7.1.5 安全测试 安全测试在SDL中扮演关键角色,确保软件在发布前发现并修复潜在的安全...
Web安全渗透流程
07-21
#### 第一章:信息收集 **1.1 域名信息** - **定义**: 域名(Domain Name)是指在Internet上用来标识计算机或计算机组的一系列用点分隔的名字,它用于在数据传输过程中标识计算机的位置。 - **域名解析**: 是将...
黑客攻防技术宝典:Web实战篇(第2版)1
08-03
书中详细介绍了各种类型的Web应用程序弱点,包括SQL注入、跨站脚本(XSS)、跨站请求伪造(CSRF)等。这些漏洞通常是由于编程错误或不安全的设计决策导致的。作者通过真实案例和示例代码,展示了这些漏洞如何被利用...
SQL注入的一些基础知识
qq_45031509的博客
04-13 222
SQL注入的一些知识 危害: 1.操纵数据 2.数据写入,getshell,网站权限 实质:通过构建特殊的输入作为参数传入Web应用程序,而这些输入大都是SQL语法里的 一些组合,通过执行SQL语句进而执行攻击者所要的操作,其主要原因是程序没有细致地过滤用户输入 的数据,致使非法数据侵入系统。恶意代码(参数值的传入),实现自定义的一种查询 条件:1.可控制的变量,带入查询数据库,变量为存在过滤,过滤不严谨 注意:1)注入参数点的位置 ​ 2)不同数据库的注入思路不同 3.注入分类
sql注入必备知识
qq_25987491的博客
04-14 867
原文:https://blog.spoock.com/2016/06/28/sql-injection-1/mysql常用注释#--[空格]或者是--+/*…*/在注意过程中,这些注释可能都需要进行urlencodemysql认证绕过;%00‘ or 1=1 #‘ /*!or */ 1=1 --+mysql连接符mysql中使用+来进行连接。select * from users where us...
sql注入的基本知识
sun的博客
10-08 366
常见类型的sql注入: 我们看到的sql注入类题目经常包含直接在数据库的系统数据库类来得到信息,这个数据库的名字为information_schema这个数据库便是系统的数据库,用来存储我们创建的数据库和数据表的基本信息,而我接下来介绍的便是对这个数据库的认识。 我们可以查看information_schema这个数据库里有很多的数据表,我们经常要用到的数据表有: tables表: 这个表...
SQL注入入门必备知识点
个人笔记
08-16 781
SQL注入入门 必备知识清单 1.认识中小型网站开发使用的数据库MYSQL(当然不限于此数据库,别的也类似) MYSQL官方手册 2.了解基本的SQL语句 SQL语句学习 3.清楚sql中数据类型:三种:数字型,文本型,时间。(便于更清晰的理解闭合) 4.SQL语句中的基本注释方式 @ # —— —— (杠杠空格),空格 可等价 + (例如—— —— + ) / * ....*/ / *!....* / 5.了解mysql数据表的基本结构 6.MYSQL数据库数据库 元数据: 元数据(Met
sql注入基础知识点总结
Lelouch_E的博客
10-05 498
sql注入基础知识点总结sql注入原理适用类型sql注入漏洞的常见类型sql注入点的类型sql注入一般步骤如何防御sql漏洞? sql注入原理 sql注入攻击指的是通过构建特殊的输入作为参数传入Web应用程序,而这些输入大都是sql语法里的一些组合,通过执行SQL语句进而执行攻击者所要的操作,其主要原因是程序没有细致地过滤用户输入的数据,致使非法数据侵入系统。(从客户端提交特殊的代码,从而收集服务器与程序的信息,获取到想要的数据) 适用类型 只要是支持批处理SQL指令的数据库服务器,都有可能受到这种手法的
sql注入基础/非常基础/从0到1/
ChenD的学习笔记
10-03 942
SQL注入基础知识+靶场第一关,这章干货满满哦
sql注入知识点
m0_55772907的博客
04-27 3658
1 Sqllab渗透测试天书 Microsoft英文文档 ORDER BY Clause (Transact-SQL) - SQL Server | Microsoft DocsSELECT - ORDER BY Clause (Transact-SQL)https://docs.microsoft.com/en-us/sql/t-sql/queries/select-order-by-clause-transact-sql?view=sql-server-ver152 Iwebsec靶场 判断字
Sql注入基础原理介绍(超详细)
weixin_30325487的博客
09-06 4316
一、Sql注入简介 Sql 注入攻击是通过将恶意的 Sql 查询或添加语句插入到应用的输入参数中,再在后台 Sql 服务器上解析执行进行的攻击,它目前黑客对数据库进行攻击的最常用手段之一。 二、Web 程序三层架构 三层架构(3-tier architecture) 通常意义上就是将整个业务应用划分为: 界面层(User Interface layer) 业务逻辑层(Business Logic...
WEB攻击与渗透测试SQL注入详解
例如,数字型注入测试可以通过修改查询条件来判断: - 成功:`http://host/test.php?id=100 and 1=1` - 失败:`http://host/test.php?id=100 and 1=2` 在实际渗透测试中,安全专家会根据这些基础测试来深入挖掘系统...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值