sql注入漏洞的三种类型及演示

最新推荐文章于 2024-06-18 13:50:50 发布
最新推荐文章于 2024-06-18 13:50:50 发布
阅读量5.9k 收藏 10
点赞数 1
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Imageel/article/details/88775591
版权

1.数字型注入

首先还是根据之前的操作先后打开phpstudy,firefox以及burpsuite在这里插入图片描述
在pikachu中选中sql-inject中的数字型注入,然后点击一下1或任意userid,让burpsuite抓到这部操作的数据包在这里插入图片描述
将抓到的数据包传到repeater。
在这里插入图片描述
在传入的id处加入数字型注入的关键 id=1 or 1=1.此操作将其默认判断为真
在这里插入图片描述
在render处即可发现所有的userid均在页面中显示,即表示注入完成。

2.字符型注入

猜想一下字符型注入在输入时数据库中的执行操作为:
select 字段1,字段2 from 表名 where username=‘kobe’;(其中kobe外的单引号不可少)
在这里插入图片描述
可见kobe为一个可用输出,发现此时输出了两个字段。然后我们用sql的语句来进行测试在这里插入图片描述
这段语句共构成了两个闭合,其中输入为字符型字段,则默认的sql中在输入的前后添加了‘’,所以实际输入在sql中的效果则是‘kobe’ or 1=1#‘,其中第一个闭合是上面测试的’kobe‘第二个则是最后引号被注释掉的1=1。

3.搜索型注入

首先先看看它的搜索逻辑在这里插入图片描述
可见其搜索方式,然后了解一下sql中的搜索方式为
’%$name%‘
同之前的模式要构建一个闭合,即:
like ’%xxxx%‘ or 1=1#%’ (其中的删除线 位置即一个闭合)
在此时的payload只要 xxxx%’ or 1=1#%'即可,结果如下图在这里插入图片描述

Imageel
关注
  • 1
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
SQL字符型注入漏洞.pdf
07-18
配套博客:https://blog.csdn.net/qq_41739364/article/details/94025729
SQL注入漏洞类型篇)
errorr0
06-24 2943
SQL注入类型
SQL注入分类,一看你就明白了。SQL注入点_SQL注入类型_SQL注入有几种_SQL注入点分类
最新发布
liuhyusb的博客
06-18 736
根据输入的 「参数」类型,可以将SQL注入分为两大类: 「数值型」注入、 「字符型」注入。
SQL注入漏洞类型和常用知识
forevergdw的博客
05-09 727
SQL注入漏洞类型和常用知识 各位前辈,通过几年对网络安全的学习,我总结了一些sql注入漏洞的知识和技巧,在这儿分享给大家,如果有问题还请给位前辈大佬多多指点,希望我总结的知识对大家有用。 sql注入常用函数 ...
SQL注入攻击的种类和防范方法
奋斗
07-16 769
<br />观察近来的一些安全事件及其后果,安全专家们已经得到一个结论,这些威胁主要是通过SQL注入造成的。虽然前面有许多文章讨论了SQL注入,但今天所讨论的内容也许可帮助你检查自己的服务器,并采取相应防范措施。<br />    SQL注入攻击的种类<br />    知彼知己,方可取胜。首先要清楚SQL注入攻击有哪些种类。<br />    1.没有正确过滤转义字符<br />    在用户的输入没有为转义字符过滤时,就会发生这种形式的注入式攻击,它会被传递给一个SQL语句。这样就会导致应用程序的终端用
常见的一些SQL注入漏洞类型
Loser5的博客
03-14 6041
刚接触SQL注入不久,整理了一些常见的漏洞类型和相关漏洞演示过程。
sql注入漏洞类型分类
liuy_uzhi的博客
08-09 5428
1、(基于错误的get单引号字符型注)'id='$id' 2、(基于错误的get整型注入)id=id 3、(基于错误的get单引号变形字符型注入)id=('$id')         4、(基于错误的GET双引号字符型注入)id=("$id") 5、盲注单引号字符型注入 5、盲注双引号字符型注入  ...
sql注入漏洞
qq_41231886的博客
01-11 266
包含sql注入,二次sql注入和相关变种,为危害较大的一类漏洞。能直接改变sql查询语句的语义,主要被用于数据窃取和销毁。     修复策略主要为将所有拼接sql语句的方式替换为占位符后补参数的方式。即使用带占位符的预编译执行方式传递参数执行sql语句。   归类:   sql注入,输入语句中存在用户输入的字符串; 二次sql注入,sql语句中存在从数据库中直接获取的字符串; sql注...
1.注入漏洞
DragonSkyAF的博客
07-21 2002
1.注入漏洞的分类: (1)SQL注入、 (2)HTTP头注入、 (3)HTML注入(XSS)注入、 (4)XPATH注入、 (5)Xml的外部实体注入等... 2.SQL注入概念: SQL注入,是一种将SQL语句插入或添加到用户输入参数中,之后再将这些参数传递给后台的SQL服务器加以解析并执行,最终达到欺骗服务器执行恶意的SQL命令。 3.SQL注入的成因: (1).对用户的输入的数据,没有进行过滤,被带到了数据库中去执行,造成了SQL注入。 (2).程序编写者在处理程序与数据库交互时,使用字符串拼
sql 注入漏洞
Venscor技术养成之路
04-21 895
sql注入相关知识
SQL注入攻击的种类和防范手段,代码教程
06-23
SQL注入攻击的种类和防范手段,代码教程,知彼知己,方可取胜。首先要清楚SQL注入攻击有哪些种类。
SQL注入漏洞演示源代码
09-29
SQL注入漏洞演示源代码 更多免费资源请查看:http://download.csdn.net/user/php_fly
SQL注入分类
Golderant的博客
09-11 2449
1.什么是sql注入2.为什么会有sql注入3.哪里可能存在sql注入4.sql注入分类 1.根据注入语法 Boolean-based blind SQL injection Error-based SQL injection UNION query SQL injection Stacked queries SQL
SQL注入漏洞全面总结
永不落的梦想
07-25 1325
SQL注入漏洞详解,各种注入方式详解及其python脚本,SQL注入的过滤绕过
SQL注入漏洞详解
weixin_44756468的博客
04-21 1265
差异备份数据库得到webshell。在sqlserver里dbo和sa权限都有备份数据库权限,我们可以把数据库备份称asp文件,这样我们就可以通过mssqlserver的备份数据库功能生成一个网页小马。
薄纱全网 史上最全SQL注入漏洞总结
MachineGunJoe666
07-07 1071
注入漏洞在十大Web安全漏洞之中,其主要原因是对用户的输入过滤不严,导致程序以危险的方式运行,注入漏洞应用最广泛,杀伤力也很大如最常见的sql注入,命令注入,还有代码注入、xss等。最常见的Web漏洞之一,作用对象在数据库中,程序没有对用户输入数据的合法性进行验证和过滤,导致sql查询语句被恶意拼接,sql注入漏洞存在的条件:参数用户可控、参数可以动态拼接sql语句并带入数据库查询、参数过滤不严。
SQL注入攻击实战演示(附源码)
hack0919的博客
03-31 4327
SQL注入是一种非常常见的数据库攻击手段,SQL注入漏洞也是网络世界中最普遍的漏洞之一。
SQL注入漏洞-01】SQL注入漏洞原理及分类
cc
02-01 7551
结构化查询语言(Structured Query Language,缩写︰SQL),是一种特殊的编程语言,用于数据库中的标准数据查询语言。SQL注入(SQL Injection)是一种常见的Web安全漏洞,主要形成的原因是在数据交互中,前端的数据传入到后台处理时,没有做严格的判断,导致其传入的“数据”拼接到SQL语句中后,被当作SQL语句的一部分执行。从而导致数据库受损(被脱库、被删除、甚至整个服务器权限陷)。sql注入在安全问题中排行第一。
常见的SQL注入类型
热门推荐
weixin_49182737的博客
05-22 1万+
sql注入的基本分类
SQL注入漏洞详解与实战教程
本资源是一份关于Web渗透测试入门的教程,重点讲解了SQL注入漏洞的相关知识。SQL注入漏洞是Web安全领域的一个严重威胁,它发生在黑客通过恶意构造SQL语句,利用应用程序处理用户输入时的不当过滤或转义,获取、修改...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值