seedlab实验——SQL注入攻击

最新推荐文章于 2024-05-11 10:44:15 发布
最新推荐文章于 2024-05-11 10:44:15 发布
阅读量1.8k 收藏 12
点赞数
分类专栏: 网络安全学习之路 文章标签: mysql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Yang254176/article/details/119046518
版权

一、实验目的

通过SQL注入攻击,掌握网站的工作机制,认识到SQL注入攻击的防范措施,
加强对Web攻击的防范。

二、实验原理

SQL注入即是指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。SQL注入攻击是通过操作输入来修改SQL语句,用以达到执行代码对WEB服务器进行攻击的方法。简单的说就是在post/getweb表单、输入域名或页面请求的查询字符串中插入SQL命令,最终使web服务器执行恶意命令的过程。可以通过一个例子简单说明SQL注入攻击。假设某网站页面显示时URL为http://www.example.com?test=123,此时URL实际向服务器传递了值为123的变量test,这表明当前页面是对数据库进行动态查询的结果。由此,我们可以在URL中插入恶意的SQL语句并进行执行。另外,在网站开发过程中,开发人员使用动态字符串构造SQL语句,用来创建所需的应用,这种情况下SQL语句在程序的执行过程中被动态的构造使用,可以根据不同的条件产生不同的SQL语句,比如需要根据不同的要求来查询数据库中的字段。这样的开发过程其实为SQL注入攻击留下了很多的可乘之机。

三、实验环境

Ubuntu(32-bit)、seedlab实验环境

四、实验步骤

1.搭建mysql环境和建表
在这里插入图片描述
在这里插入图片描述
2.搭建实验网页
在这里插入图片描述
3.注入攻击
Eid中输入:EID 5002’#,password输入:xyz
在这里插入图片描述

Eid中输入:a’or 1= 1#,password输入:xyz

在这里插入图片描述

curl是一个用途很广的命令行工具,用在多个网络协议(http,https)中发送数据。通过curl,可以在命令行发送1个表单.curl ‘www.example.com/getdata.php?EID=a%27%20OR%201=1%20%23&Password=’

在这里插入图片描述

使用curl攻击:
curl 'www.seedlabsqlinjection.com/unsafe_home.php?username=Admin%27%23&Password=

在这里插入图片描述

发动在login.html中,注入: EID5001’;drop datanase dbtest;#

在这里插入图片描述

update攻击:修改他人属性,不知道密码
在这里插入图片描述

尝试输入:EID5001’#,passwd456’,salary=0#
在这里插入图片描述

2.防范SQL注入
防御SQL注入攻击的3种方法:过滤掉代码;通过编码将代码变为数据;代码和数据分离
在这里插入图片描述

**

五、实验总结

**
本次实验主要进行了SQL的注入和防御机制

KHongi
关注
  • 0
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SQL注入攻击实验报告
05-07
SQL注入攻击实验报告,自己写了试验的网站,举了一些基本的攻击和防御方法,有xp_cmdshell的执行,用的是sqlserver 2005
网络安全---SQL注入攻击
zdsxc_的博客
04-05 1186
容器通常是一次性的,因此一旦被销毁,容器内的所有数据都会丢失。对于此次实验,我们确实希望将数据保留在 MySQL 数据库中,确保我们在关闭容器时,我们不会丢失工作。为此,我们将主机上的mysql_data文件夹(在 MySQL 容器运行后,在Labsetup文件夹内创建)装载(mounted)到MySQL容器内的 /var/lib/mysql 文件夹中。mysql_data文件夹是 MySQL 存储其数据库的地方。因此,即使容器被销毁,数据库中的数据仍保留。
SeedLab——SQL Injection Attack Lab
Aft3rGl0w的博客
01-14 930
这里的密码是经过SHA1散列计算后存入数据库的,因此要修改别人的密码,不能直接修改为明文,那样我们自己也无法使用。上面的SELECT语句存在SQL注入漏洞,可能会造成数据库的泄露,如果UPDATE语句存在SQL注入漏洞,危害可能会更严重,因为攻击者可以利用漏洞来修改数据库,造成系统的不可用。获取用户提交的GET参数中获取用户名和密码,然后对密码计算sha1散列值,拼接到sql语句执行查询,以完成身份的校验。我们可以构造输入的用户名,将整个语句提前闭合,并将后面的内容注释掉,如下所示。的话命令格式比较简单。
[seed-labs] SQL注入攻击实验
最新发布
[热爱分享]希望大家都能花时间在学习自己喜欢的东西上
05-11 777
软件安全实验二:SQL注入攻击实验
SeedLabs-Web安全-SQL注入实验
Anonymity
06-16 2527
SeedLabs-Web安全-SQL注入实验 文章目录SeedLabs-Web安全-SQL注入实验前言一、Task1 熟悉SQL语句1. 进入容器内部2.使用基本的SQL语句二、Task2 SQL注入攻击之select2.1 网页SQL注入攻击。2.2 来自命令行的SQL注入攻击。2.3 添加一条新的SQL语句。三、SQL注入攻击之UPDATE3.1 修改自己的薪水。3.2 修改他人工资四、Countermeasure — Prepared Statement 前言 SQL注入实验记录,基本的不做赘
SEED-Lab)SQL Injection Attack Lab SQL注入实验
lunan的博客
02-02 4755
(SEED-Lab)SQL Injection Attack Lab SQL注入实验 欢迎大家访问我的GitHub博客 https://lunan0320.cn 文章目录一、实验目的二、实验步骤与结果2 Lab Environment2.1 Apache Confifiguration3 Lab Tasks3.1 Task 1: Get Familiar with SQL Statements3.2 Task 2: SQL Injection Attack on SELECT Statement3.
软件安全实验——lab8(SQL注入)(下)(旧虚拟机SEEDUbuntu12.04版本实验
Onlyone_1314的博客
08-09 1371
目录标题2、实验室环境2.1环境配置2.2关闭对策2.3通过修补已有虚拟机,添加Web应用3、实验室的任务3.1任务1:MysQL控制台3.2任务2:针对SELECT语句的SQL注入攻击任务2.1(1)在不知道任何员工凭证的情况下,登陆应用程序(2)隔断的方式登录admin账户(3)#注释代码的方式登录admin账户任务2.2任务2.33.3任务3:针对UPDATE语句的SQL注入攻击任务3.1任务3.23.4任务4:对策-准备声明 2、实验室环境 您需要为这个实验室使用我们提供的虚拟机映像。支持这个实验
啊D——SQL注入工具
12-01
啊D注入工具
SQL 注入式攻击的本质
09-11
SQL 注入式攻击,又是注入式攻击,没想到2008年这个老掉牙的东西又出来搅风搅雨
sql注入攻击流量情况
07-18
sql注入攻击流量情况
SQL注入攻击与防御
07-17
SQL注入是Internet上最危险、最有名的安全漏洞之一,《SQL注入攻击与防御》是目前唯一一本专门致力于讲解SQL威胁的图书。《SQL注入攻击与防御》作者均是专门研究SQL注入的安全专家,他们集众家之长,对应用程序的...
SEED _LABS_SQLInjection
weixin_44046197的博客
06-01 636
1.Overview 2.Lab Environment Virtual machine 虚拟机中访问: Physical machine 物理机中访问方法: 添加DNS解析 Apache configuration 无需配置 3.Lab Tasks 3.1 Task 1: Get Familiar with SQL Statement 3.2 Task 2: SQL Injection Attack on SELECT Statement Task 2.1: SQL Injecti
SeedLabs-Web安全-SQL注入Problem
Anonymity
06-15 799
系列文章目录 提示:这里可以添加系列文章的所有文章的目录,目录需要自己手动添加 例如:第一章 Python 机器学习入门之pandas的使用 提示:写完文章后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录系列文章目录前言一、pandas是什么?二、使用步骤1.引入库2.读入数据总结 前言 提示:这里可以添加本文要记录的大概内容: 例如:随着人工智能的不断发展,机器学习这门技术也越来越重要,很多人都开启了学习机器学习,本文就介绍了机器学习的基础内容。 提示:以下是本篇文章正文内容,下面案例
网络攻防实践实验报告十
qq_48521772的博客
06-02 1862
在本次实践中,我们亲自尝试了一次XSS攻击SQL注入攻击,发现了常见的输入框中的漏洞,提醒了我们:在开发Web应用的时候,要对从客户端传输的数据进行检查和处理,确保数据的安全,防止因一些漏洞而导致网站受到攻击
从入门到入土:[SEED-Lab]-SQL注入攻击|SQL Injection Attack Lab|详细说明|实验步骤|实验截图
Q_U_A_R_T_E_R的博客
10-26 3895
此博客仅用于记录个人学习进度,学识浅薄,若有错误观点欢迎评论区指出。欢迎各位前来交流。(部分材料来源网络,若有侵权,立即删除) 本人博客所有文章纯属学习之用,不涉及商业利益。不合适引用,自当删除! 若被用于非法行为,与我本人无关 [SEED-Lab]-SQL注入攻击实验环境环境配置apachePDF文件实验 实验环境 seed-ubuntu 20.04 seed自带虚拟机已经安装好了mysql服务,root密码是seedubuntu 实验室环境。该实验室已经在我们预构建的Ubuntu16.04VM上进行
seed-emulator下进行sql注入攻击(含sql环境配置)
捡破烂日记^ ^
05-16 116
addSoftware(‘mysql-server mysql-client’) mysql -u root cd etc/init.d ./mysql restart cd /etc/mysql vim debian.cnf ,查看密码,复制 mysql -u debian-sys-maint -p 输入刚刚看到的密码(这一步做完就进去sql了) alter user ‘root’@‘localhost’ identified by ‘123’; flush privileges; exit cd /e.
网络安全必学SQL注入
kali_Ma的博客
11-04 7365
如果使用参数化查询,则在SQL语句中使用占位符表示需在运行时确定的参数值。当找到某个变量关键词有 SQL 注入风险时,可以再根据调用链找到该存在注入风险的业务逻辑代码,查看参数来源是否安全、是否有配置SQL危险参数过滤的过滤器,最终确认是否存在SQL注入。修改SQL语句之后,程序停止报错,但是却引入了SQL语句拼接的问题,如果没有对用户输入的内容做过滤,势必会产生SQL注入漏洞。至此,整个功能流程结束,在我们跟进的过程中,代码中无任何过滤语句,获取参数值,调用update方法更新,更新成功后返回结果。
SQL注入攻击课程设计
毕业作品网站
09-19 719
采用 PHP 进行网页编程,main.php 为目标网站主页面,选择 low,improved 两个选项,进入不同安全等级的网页,其中 low 安全等级最低,本文转载自http://www.biyezuopin.vip/onews.asp?最后,安装 PHP,输入命令"sudo apt-get install php7.0 libapache2-mod-php" , “sudo apt-get install php7.2-mysql”,并进行相应的配置操作。2.1 目标机器的环境 1。
SQL注入攻击技术详解
SQL注入是一种常见的网络安全攻击手段,攻击者通过在Web应用的输入字段中插入恶意SQL代码,以欺骗服务器执行非授权的数据库操作。本文档详细介绍了SQL注入的实战技巧,主要针对四种不同的数据库管理系统:ACCESS、...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值