注入攻击

最新推荐文章于 2024-05-13 11:55:49 发布
最新推荐文章于 2024-05-13 11:55:49 发布
阅读量1.1k 收藏 1
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Darkray1/article/details/80066046
版权

注入的本质:是把用户输入的数据当作代码执行。前提条件一:用户能够控制输入。二:原本程序要执行的代码,拼接了用户输入的数据。

SQL注入:

        利用现有应用程序,将(恶意)的SQL命令注入到后台数据库执行一些恶意的操作。

造成SQL注入的原因:

        因为程序没有有效过滤用户的输入,使攻击者成功的向服务器提交恶意的SQL查询代码,程序在接收后错误的将攻击者的输入作为查询语句的一部分执行,导致原始的查询逻辑被改变,额外的执行了攻击者精心构造的恶意代码。

盲注:

        就是在服务器没有错误回显时完成的注入攻击。

常见的盲注验证方法:构造简单的条件语句,根据返回页面是否发生变化,来判断SQL语句是否得到执行。

常见的数据库攻击技巧:SQL猜解数据库对应版本。

                                        http://www.xxxx.com/news.php?id=5 and substring(@@version,1,1)=4 

                                        利用union select确认表名admin是否存在,列名passwd是否存在。

                                         http://www.xxxx.com/news.php?id=5 union all select 1,2,3, from admin

                                         http://www.xxxx.com/news.php?id=5 union all 1,2,,passwd from admin(此为手动注入,自动工具:sqlmap)

防御SQL注入攻击:

    1.使用预编译语句:使用预编译语的SQL语句,SQL语句的语义不会发生改变,攻击者无法改变SQL的结构。

    2.使用存储过程:尽量避免在存储过程中使用动态SQL语句,如果使用,应使用严格的输入过滤和编码函数来处理用户的输入数据。

    3.检查数据类型:限制输入的数据类型。

    4.使用安全函数

其他注入攻击

    1.XML攻击

    2.代码注入

    3.CRLF注入

总结:注入攻击是应用违背了“数据与代码分离原则”导致的结果。只需要牢记“数据与代码分离原则”,在“拼凑”发生的地方进行安全检查。就能避免此类问题。

Darkray1
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
web安全专题(1)注入攻击
微生活Pro
07-02 3592
1、非对称加密算法:RSA,DSA/DSS 2、对称加密算法:AES,RC4,3DES 3、HASH算法:MD5,SHA1,SHA256
Mongodb注入攻击
03-01
关于mongodb的基本安装运行操作以及php操作mongodb,请参考我以前的文章php下操作mongodb的帖子国内已经有了,但是基于php下注入攻击mongodb的文章似乎还比较少。本文是笔者在学习、查阅了大量资料后的一些总结,...
Injection Attacks-Log 注入
weixin_34272308的博客
03-11 336
日志注入(也称日志文件注入) 很多应用都维护着一系列面向授权用户、通过 HTML 界面展示的日志,因而成为了攻击者的首要目标,这些攻击者试图伪装其他攻击、误导日志读者,甚至对阅读和分析日志监测应用的用户安装后续攻击程序。 日志的脆弱性取决于对日志编写过程的控制,以及是否确保对日志条目进行任何监控或分析时,日志数据被看作非置信数据源。 简单的日志系统可能...
【网络安全 文件包含漏洞】日志注入getshell_文件包含漏洞 getshell(1)
最新发布
2401_84969291的博客
05-13 431
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!
简单高效防注入攻击的动态多参数、动态SQL语句拼接方法,提高网站的安全性
通用权限管理系统
10-24 2714
<br />并非人人是高手,并非人人是神仙,我也有不懂的地方,我也有不注意的技术问题,多交流多学习就是最好的提高方法<br /> <br />   其实对与初学者来说,进行的动态的查询语句拼接也不是那么好做的事情,就是做出来了,也未必是经得起考验的足够灵活好用的,未必是能拿得出手可以进行推广的,是否能拿得出就是其中的关键。<br /> <br />   今天检查公司的软件项目质量,发现有2个同事写的程序存在SQL注入攻击的漏洞,当然也不能怪罪人家,他们也是刚参加工作1-2年,还没有那么丰富的技术经验、安全意
sql注入攻击
柳生飘絮
03-29 851
【原文地址】Tip/Trick: Guard Against SQL Injection Attacks 【原文发表日期】 Saturday, September 30, 2006 9:11 AMSQL注入攻击是非常令人讨厌的安全漏洞,是所有的web开发人员,不管是什么平台,技术,还是数据层,需要确信他们理解和防止的东西。不幸的是,开发人员往往不集中花点时间在这上面,以至他们的应用,更糟糕的是
MySQL注入攻击与防御
02-25
下面几点是注入中经常会用到的语句控制语句操作(select,case,if(),...)比较操作(=,like,mod(),...)字符串的猜解操作(mid(),left(),rpad(),…)字符串生成操作(0x61,hex(),conv()(使用conv([10-36],10,36)可以实现所有...
大语言模型提示注入攻击安全风险分析报告
08-18
大语言模型提示注入攻击安全风险分析报告指出,现代文本生成模型的广泛应用也带来了新的安全挑战,其中之一便是“提示注入攻击”。这种攻击利用对模型的工作原理有深入了解的攻击者,通过在生成文本的提示中插入恶意...
SQL注入攻击与防御
07-17
SQL注入是Internet上最危险、最有名的安全漏洞之一,《SQL注入攻击与防御》是目前唯一一本专门致力于讲解SQL威胁的图书。《SQL注入攻击与防御》作者均是专门研究SQL注入的安全专家,他们集众家之长,对应用程序的...
SQL注入(四)之攻击类型与方式(上)
不秃头的程序Yang
03-22 462
一 SQL注入攻击类型与方式 01 union注入 union操作符用于合并两个或多个SQL语句集合起来,得到联合的查询结果。 输入select id,email from member where username='kevin' union select username,pw from member where id=1; ...
SQL注入攻击实验报告
05-07
SQL注入攻击实验报告,自己写了试验的网站,举了一些基本的攻击和防御方法,有xp_cmdshell的执行,用的是sqlserver 2005
注入攻击日志分析
11-06
一般的注入攻击的日志分析 SQL注入案例回顾 IIS日志系统概述 IIS日志分析工具及方法
网站注入攻击的原理与防范
05-30
本文深入介绍并讨论了SQL注入攻击的途径、分类和注入 的流程、原理等,结合目前普遍采用的攻击测试方法,提出了针 对数据库管理员、应用程序设计员和系统管理员对防范注入攻 击方法,极大限度地减少网站注入攻击的可能性,保护数据库 的安全。然而,通过人工的方法对网站存在的SQL注入式漏洞 进行检测,容易出现遗漏,因此,下一步将重点研究注入式漏洞 的自动检测技术及其应用。
简单介绍一下什么是注入攻击
误许的专栏
11-01 1312
     随着B/S模式应用开发的发展,使用这种模式编写应用程序的程序员也越来越多。但是由于程序员的水平及经验也参差不齐,相当大一部分程序员在编写代码的时候,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。用户可以提交一段数据库查询代码,根 据程序返回的结果,获得某些他想得知的数据,这就是所谓的SQL Injection,即SQL注入。SQL注入是从正常的WWW端口访问,而且表
注入攻击学习笔记
weixin_33721344的博客
12-23 171
安全设计原则:数据与代码分离。 注入攻击的本质:把用户的输入数据当作代码来执行。 关键条件: 用户能够控制输入。 程序要执行的代码拼接了用户输入的数据。 1 SQL 注入 1.1 概述 因为 98 年黑客杂志的一篇文章, SQL 注入第一次为人熟知。 var sql="select * from area where city ='" + city +"'"; 复制代码正常场景(传入 Sha...
SQL注入攻击常见类型及解决方案
逆天骚年的博客
08-26 1159
select * from test where username='张三' and password='*****' or 1='1'; 解决方案 1.使用预编译 2.改变验证数据库用户逻辑   select password from test where username='张三';      //看看有没有查询到记录 如果有说明用户存在    if(从数据库查询到的
php动态函数执行漏洞,Php动态函数注入漏洞
weixin_30783611的博客
03-26 204
以下是简介阶层日益严重PHP的应用性.可以让执行任意法或任意功能或阅读/书写的机会 国内任意变量.看来只有极少数研究人员正在寻找 这些问题包括StefanEsser,Retrogod,Gulftech.不过,这可能是目前许多严重问题 应用,特别是大型或复杂的问题.此外,这些研究人员可以引发性错误,但品牌他们充分发挥XSS如果不诊断.看到这种独特性并非PHP.其他可以理解的语言有类似的问题.例如,P...
php 函数注入,Php动态函数注入漏洞
weixin_33056525的博客
03-22 211
以下是简介阶层日益严重PHP的应用性.可以让执行任意法或任意功能或阅读/书写的机会 国内任意变量.看来只有极少数研究人员正在寻找 这些问题包括StefanEsser,Retrogod,Gulftech.不过,这可能是目前许多严重问题 应用,特别是大型或复杂的问题.此外,这些研究人员可以引发性错误,但品牌他们充分发挥XSS如果不诊断.看到这种独特性并非PHP.其他可以理解的语言有类似的问题.例如,P...
java xss 注入攻击
05-27
在 Java 中,防止 XSS 注入攻击可以采取以下措施: 1. 对用户输入的数据进行过滤和验证,避免恶意代码的插入。例如,可以使用一些开源的 XSS 过滤器,如 OWASP 的 ESAPI 库或是 Google 的 GSON 库。 2. 对用户输入...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值