数据库注入技术小结

最新推荐文章于 2024-10-14 22:42:36 发布
最新推荐文章于 2024-10-14 22:42:36 发布
阅读量86 收藏
点赞数
文章标签: 数据库 php 操作系统

数据库注入(Database Injection),其实质是改写HTTP协议达到攻击目的。

从数据库类型分

Oracle注入、SQL Server注入(更详细的可能要分不同版本了)、MySQL注入等;

从注入技术分

整型数注入、字符串注入和搜索型注入(还有Cookie注入和XPath注入,对这两个没有研究,有兴趣的可以搜索下,很早就有了这类工具了);

常见的注入判断方法

and 、or方法,有时使用注入“’”、“'”、“;”也会有意想不到的效果;

注入工具:

Pangolin (国内某大N开发,支持多种类型数据库,现在已经收费,但是提供免费版,http://www.nosec.org/zh-hans/pangolin.html

NBSI  (同样是一款不错的数据库注入工具,直接在网上搜索就能够找到下载地址)

SQLMap (这是一款开源的注入工具,在http://sqlmap.sourceforge.net/能够找到)

SQL Injector  (国外的N人开发的一款数据库注入工具,http://www.databasesecurity.com/dbsec/sqlinjector.zip,下载时可能会有杀软提示有病毒,我的就报了)

注入的严重性:

严重。尤其当使用SQL server时使用sa权限创建的数据库连接,那么attacker可以直接执行操作系统命令。

自语

注入技术发展到现在已经非常成熟,几乎市面上所有的数据库都能被注入攻击工具支持。甚至有人认为注入技术已经开始老去,其实技术无所谓老与不老,就 如多年前人们说的ASP\PHP\JSP技术一样,技术始终就是技术,即能造福人类,也能祸害人类,关键看怎么用了。注入的产生,应该是过滤不严造成,当 然也与开发人员的安全意识息息相关,记住,所有的输入都可能是有害的,这是微软得出的经验!


原文地址:http://www.cnblogs.com/slotbeta/archive/2009/06/02/1494753.html

来自 “ ITPUB博客 ” ,链接:http://blog.itpub.net/16436858/viewspace-617279/,如需转载,请注明出处,否则将追究法律责任。

转载于:http://blog.itpub.net/16436858/viewspace-617279/

cuanji3287
关注
SQL Injection(SQL注入
Xiao_xhe的博客
11-06 1836
SQL Injection SQL注入,是指攻击者通过注入恶意的SQL命令,破坏SQL查询语句的结构,从而达到执行恶意SQL语句的目的。SQL注入漏洞的危害是巨大的,常常会导致整个数据库被“脱裤”,尽管如此,SQL注入仍是现在最常见的Web漏洞之一 SQL 注入分类 按SQLMap中的分类来看,SQL注入类型有以下 5 种: UNION query SQL injection(可联合查询注入) Stacked queries SQL injection(可多语句查询注入) Boolean-...
Access数据库SQL注入小结
热门推荐
HappyOrange2014的专栏
11-10 1万+
Access数据库SQL注入小结这里总结一下学到的Access数据库注入的知识点。
SQL injection(SQL 注入攻击) 原理浅析
show me the code.
01-30 606
1.database 数据库 A database is an organized collection of data. The data is typically organized to model aspects of reality in a way that supports processes requiring information. 数据库,简单来说可视为电子化的文件柜——
数据库(DataBase)-SQL注入问题代码举例
EdwinD的博客
05-24 561
SQL注入问题 sql存在漏洞,容易导致数据泄露 本文数据库: CREATE DATABASE JdbcStudy CHARACTER SET utf8 COLLATE utf8_general_ci; USE JdbcStudy; CREATE TABLE `users`( `id` INT PRIMARY KEY, `NAME` VARCHAR(40), `PASSWORD` VARCHAR(40), `email` VARCHAR(60), `birthday` DATE ); INS
SQL Injection - Blind - Boolean-Based注入思路
****的博客
08-21 3736
靶机:bWAPP bug:SQL Injection - Blind - Boolean-Based 难度等级:low 这是基于布尔型的盲注。首先使用“Man of Steel”、“Man of Steel' and 1=1#”测试发现,返回的信息都为“The movie exists in our database!”,当输入“Man of Steel' and 1=2#”,返回 “The...
120+款常用网络安全工具介绍及对应获取地址--持续更新
所有成功的背后,都是痛苦的坚持,所有的痛苦,都是傻瓜般的不放弃!
12-13 2611
Source Insight是一个强大的面向项目的编程编辑器、代码浏览器和分析器,通过工程的管理可实现多文件代码中的变量、函数的快速定位和搜索,并且对每个打开的源代码中的变更和函数的程序语句进行彩色显示等功能。是一种简单的bash脚本,用于搜索提取或挂载的固件文件系统中可能感兴趣的内容,如/etc/shadwo,/etc/passwd,/etc/ssl目录,SSL相关文件如.pem,.crt,配置文件,脚本文件,其他bin文件,admin,password等关键词,服务器,URL,IP地址等。
mysql xpath注入_数据库注入技术小结
weixin_36166558的博客
02-07 82
数据库注入(Database Injection),其实质是改写HTTP协议达到攻击目的。从数据库类型分:Oracle注入、SQL Server注入(更详细的可能要分不同版本了)、MySQL注入等;从注入技术分:整型数注入字符注入和搜索型注入(还有Cookie注入和XPath注入,对这两个没有研究,有兴趣的可以搜索下,很早就有了这类工具了);常见的注入判断方法:and 、or方法,有时使用注入...
mssql2005注入方法小结
09-14
在本文中,我们将深入探讨针对Microsoft SQL Server 2005(简称mssql2005)的SQL注入方法,以及如何利用这些方法进行数据库的探测、数据泄露和权限提升。 1. **爆库语句** 爆库语句主要用于获取数据库服务器上的...
PHP 数据库 常见问题小结第1/3页
10-29
PHP应用程序中,数据库的使用是核心组成部分。...同时,随着技术的不断进步,新的数据库访问技术和框架也在不断涌现,开发者应及时了解并运用这些新技术来提升代码质量,确保数据库操作的安全、高效和可维护性。
PHP中PDO连接数据库中各种DNS设置方法小结
12-18
标题中的“PHP中PDO连接数据库中各种DNS设置方法小结”指的是PHP中使用PDO(PHP Data Objects)扩展连接不同类型的数据库时,如何设置DNS(Data Source Name)的详细概述。DNS是配置数据库连接的重要部分,它包含了...
《电脑迷》9期SQL注入实验小结.pdf
09-19
实验小结部分可能会涉及各种注入技巧的使用、不同数据库管理系统(如MySQL、SQL Server、Oracle等)下SQL注入的特性、以及实际案例分析。 知识点五:专业指导与数据处理 文档中提到的专业指导部分可能包含了对攻击...
国内外 SQL 神器 (集合帖)
黑面小窝
12-17 8166
集合国内外 SQL 扫描注入神器,我想有些各位基友都有咯。 从老外blog那收集来的! 没的,伸手党回帖拿吧。 俗话说的好:神器在手,天下我有。 Sqlninja( http://sqlninja.sourceforge.net/ ) 只支持微软SQL Server。 的SqlMap( http://sqlmap.sourceforge.net/ ) 的全面支持:
PyQt 的Tree Widget中拖放和点击的异常行为
weixin_44617651的博客
10-10 476
在 PyQt 的 ​​QTreeWidget​​ 中,如果你遇到 拖放 和 点击 的异常行为,可能是由于信号处理、事件拦截、拖放设置或树结构配置等问题导致的。以下是一些可能的常见问题和解决方案。
MySQL数据库的详细学习步骤
2401_87352036的博客
10-11 1130
MySQL数据库的详细学习步骤可以归纳为以下几个阶段,每个阶段都包含了特定的学习内容和目标。
sqli-labs less-23 注释符绕过
wanggonghanfei的博客
10-10 1230
sqli-labs less-23 注释符绕过
mysql锁之乐观锁、悲观锁、表锁、行锁、共享锁、排他锁
最新发布
qq_68883928的博客
10-14 433
锁是计算机协调多个进程或线程并发访问某一个资源的机制,在数据库中,除传统的计算资源(CPU、RAM、I/O)的争用以外,数据也是一种供许多用户共享的资源。如何保证数据并发访问的一致性、有效性是所在有数据库必须解决的一个问题,锁冲突也是影响数据库并发访问性能的一个重要因素。从这个角度来说,锁对数据库而言显得尤其重要,也更加复杂。
图解Redis 04 | Set数据类型的原理及应用场景
大厂小码农的博客
10-10 875
Redis 的 Set 类型是一个不允许重复元素的集合,元素存储的顺序不按照插入的顺序,因此属于无序集合。一个 Set 最多可以存储 2^32 - 1 个元素,这与数学中的集合概念类似。Set 类型不仅支持增、删、改、查等操作,还支持多个Set之间的交集、并集和差集运算。
PostgreSQL学习笔记十:锁机制详解
软件行业技术文化交流。
10-11 1205
它通过不同级别的锁来控制对数据对象的并发访问,主要包括表级锁、行级锁、页级锁、咨询锁(Advisory Locks)以及死锁(Deadlocks)。咨询锁可以用于实现更细粒度的锁控制,例如,在不同的事务之间同步对特定资源的访问。咨询锁可以是会话级别的或事务级别的,允许用户在不同的进程或事务之间进行协调。:设计事务时,应尽量减少锁的持有时间,并避免长时间运行的事务,因为这会增加死锁的风险。这些锁可以是行级的、事务级的,或者是咨询锁(advisory locks),它们用于控制对表或行的并发访问。
mybatis小结<=
08-28
3. SQL注入安全:MyBatis会预编译SQL语句,避免了手动拼接字符串可能导致的SQL注入风险。 4. 增删改查分离:支持批量操作,可以单独处理插入、更新、删除和查询等操作,提高代码可读性和维护性。 5. 易于与Spring...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值