SQL注入
文章平均质量分 87
SQL注入漏洞
周无争
这个作者很懒,什么都没留下…
展开
-
UNION 注入
本文翻译自:https://portswigger.net/web-security/sql-injection/union-attacks当应用程序易受SQL注入攻击,并且查询结果在应用程序的响应中返回时,可以使用UNION关键字从数据库中的其他表中检索数据。这导致了SQL注入UNION的攻击。UNION关键字允许您执行一个或多个附加的SELECT查询,并将结果追加到原始查询中。例如:SELECT a, b FROM table1 UNION SELECT c, d FROM table2这个SQ翻译 2021-09-26 14:55:31 · 717 阅读 · 0 评论 -
检查SQL注入攻击中的数据库
本文翻译自:https://portswigger.net/web-security/sql-injection/examining-the-database在利用 SQL 注入漏洞时,通常需要收集有关数据库本身的一些信息。这包括数据库软件的类型和版本,以及数据库的内容,它包含的表和列。查询数据库类型和版本不同的数据库提供不同的查询版本的方式。您通常需要尝试不同的查询才能找到有效的查询,从而能够同时确定数据库软件的类型和版本。确定某些热门数据库类型的数据库版本的查询如下:DBS查询语句翻译 2021-09-26 14:52:25 · 537 阅读 · 0 评论 -
SQL 注入备忘录
本文翻译自:https://portswigger.net/web-security/sql-injection/cheat-sheet这份SQL注入备忘录包含一些有用的语法示例,您可以使用这些语法来执行各种任务,这些任务在执行SQL注入攻击时经常出现。字符串连接您可以将多个字符串连接成为一个字符串。DBSPayloadOracle‘foo’||‘bar’Microsoft‘foo’+‘bar’PostgreSQL‘foo’||‘bar’MySQL‘fo翻译 2021-09-26 14:47:02 · 138 阅读 · 0 评论 -
SQL 盲注
本文翻译自:https://portswigger.net/web-security/sql-injection/blind在这一部分,我们将描述什么是盲目的SQL注入,解释各种发现和利用盲目的SQL注入漏洞的技术。什么是SQL盲注?当应用程序易受SQL注入攻击,但其HTTP响应不包含相关SQL查询的结果或任何数据库错误的详细信息时,就会出现SQL盲注。由于存在SQL盲注漏洞,许多技术(如联合注入)并不有效,因为它们依赖于能够在应用程序的响应中看到注入查询的结果。仍然有可能利用盲SQL注入来访问未经翻译 2021-09-26 14:37:00 · 288 阅读 · 0 评论 -
SQL注入
SQL 注入在本节中,我们将解释什么是SQL注入,描述一些常见的例子,解释如何发现和利用各种SQL注入漏洞,并总结如何防止SQL注入。什么是 SQL 注入SQL 注入是一个 Web 安全漏洞,允许攻击者干扰应用程序对其数据库的查询。它通常允许攻击者查看他们通常无法检索的数据,这可能包括属于其他用户的数据,或应用程序本身能够访问的任何其他数据。在许多情况下,攻击者可以修改或删除此数据,从而持续更改应用程序的内容或行为。在某些情况下,攻击者可能会升级 SQL 注入攻击以破坏基础服务器或其他后端基础结构翻译 2021-09-26 14:22:39 · 310 阅读 · 0 评论