信息安全(五)

最新推荐文章于 2022-12-23 11:25:59 发布
最新推荐文章于 2022-12-23 11:25:59 发布
阅读量105 收藏
点赞数
分类专栏: 信息安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_57907546/article/details/116493656
版权

SQL注入 DVWA 预编译语句 安全防护 数据库
关键词由CSDN通过智能技术生成

文章目录

一、SQL注入

SQL注入就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。

SQL注入成功的原因:

(1)程序编写者在处理应用程序和数据库交互时,使用字符串拼接的方式构造SQL语句。
(2)未对用户可控参数进行足够的过滤便将参数内容拼接进入到SQL语句中。
最终,用户提交的参数数据未做充分检查过滤即被代入到SQL命令中,改变了原有SQL命令的“语义”,且成功被数据库执行。

如:输入用户名:’ or 1='1

SQL语句被改变成为1=1永远为真,所以就通过了验证成功登录网站。

常见的SQL注入语句:

通过一个单引号‘查看是否触发错误,如果成功,数据库将会返回一个错误。
在这里插入图片描述
在这里插入图片描述

使用DVWA测试

  • 打开DVWA也面,登录,然后修改DVWA Security等级为Low点击submit

  • 打开SQL Injection界面,该界面的功能是通过输入User ID查询Username
    如下图所示,我们输入一可以得到下方结果,显示User ID为1的用户。
    在这里插入图片描述

  • 输入1’ union select 1,database()#提交,可以得到数据库的名称。如下图所示:
    在这里插入图片描述

  • 输入1’ union select 1,table_name from information_schema.tables where table_schema=‘dvwa’#,得到数据库中的表名
    在这里插入图片描述

  • 输入1’ union select 1,column_name from information_schema.columns where table_name=‘users’#,得到users表的列名
    在这里插入图片描述

  • 输入1’ union select 1,concat(user,password) from users#,得到users表的所有用户名和密码
    下图得到的密码为md5加密密码,我们可以通过 https://www.cmd5.com/ 网站进行解密从而得到真实的密码。
    在这里插入图片描述

二、SQL注入防范措施

过滤特殊符号

在HTML中,某些字符是预留的。例如小于号 < 和大于号 > ,浏览器在解析他们时会误认为它们是标签。如果希望正确地显示预留字符,我们必须在HTML源代码中使用字符实体。
代码如下(示例):

content=content.replace("<","&lt");
content=content.replace(">","&gt");

利用PreparedStatement方法

SQL中有变量时,用JDBC提供的PreparedStatement方法可以提高SQL语句执行的安全性,该方法要求在执行SQL语句之前,必须告诉JDBC哪些值作为输入参数。

总结

SQL注入可以导致不法分子直接通过代码导致网站SQL语句发生变化从而成为永真语句,可以不通过正常输入账号及密码登录网站,给网站带来了很大的危害。

香墨淡淡
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
信息安全概论考题
Anoxiaa的博客
12-23 3987
信息安全概论考题2
信息安全风险评估
江南落花雨
01-11 6318
网站的风险,大多来自于漏洞! 漏洞扫描 漏洞扫描内容 网络设备 版本漏洞,包括但不限于iOS存在的漏洞,涉及包括所有在线网络设备及安全设备。 开放服务,包括但不限于路由器开放的web管理界面、其他管理方式等。 空弱口令,例如空/弱telnet口令、snmp口令等。 网络资源的访问控制:检测到无线访问点 域名系统,ISC BIND SIG资源记录无效过期时间拒绝服务攻击漏洞,Microsoft Windows DNS拒绝服务攻击 路由器,Cisco IOS Web配置接口安全认证可被绕过,N
信息安全大特性
热门推荐
qq_39440893的博客
02-27 2万+
网络信息安全大特性:①完整性、②保密性、③可用性、④不可否认性、⑤可控性,综合起来说就是保障电子信息的有效性。 1.完整性:指信息在传输、交换、存储和处理过程保持非修改、非破坏和非丢失的特性,即保持信息原样性,使信息能正确生成、存储、传输,这是最基本的安全特征。 1.1 完整性实现 数据完整性保护有两种基本方法:一是访问控制方法,限制非授权实体修改被保护的数据;二是损坏-检测方法,这种方法无法避免数据损坏,但能确保这些损坏能够被检测出来,并能够被纠正或报警。一般通过消息鉴别码 (MA...
信息安全概述
莫黎小天
03-27 5882
1.网络安全现状分析 APT高级可持续性威胁攻击 Shadow Brokers 再次让安全界震惊 近几年的勒索病毒(Cryptlocker) 永恒之蓝勒索家族(445端口) 规划化用户信息泄露事件 国内网络安全形式–《网络安全法》 ​ 是第一步网络安全方面的基础性法律,是我国网络安全法治建设的重要里程碑,是依法治网、依法管网的重要法律武器! 2.信息安全要素 1.信息安全要素:保密性、真实性、可用性、完整性、不可否认性 2.保密性::要求保护数据内容不被泄漏,加密是实现机密性要求的常用
信息安全】知识总结
gecko
06-29 3596
一、 网络安全基本概念(10分) 1、 信息安全性 ①保密性:保密性服务用于保护系统数据和信息免受非授权的泄密攻击。 ②完整性:完整性服务用于保护数据免受非授权的修改 ③可用性。可用性服务用于保证合法用户对信息和资源的使用不会被不正当地拒绝。 ④可控性。可控性的关键为对网络中的资源进行标识,通过身份标识达到对用户进行认证的目的。 ⑤不可否认性。不可否认服务用于追溯信息或服务的源头。 2、 风险管...
信息安全基础概念
network_idiot的博客
07-31 5028
目录信息信息安全信息安全的发展历史案例信息安全风险和管理信息安全管理的重要性 信息 什么是信息? 信息是通过施加于数据上的某些约定而赋予这些数据的特定含义。—《ISO/IEC IT安全管理指南(GMITS)》 因此信息是我们人为地对数据赋予某些特定的含义来表达特定的意思,比如一个数据‘80’,可以表示人的体重80kg,可以表示一门课的成绩,也可以表示某个事物的价位等等,在不同的环境中这个数据又这不同的含义,或者说表示的信息不同,这就是信息的概念。 信息可以是纸质的数据,可以是电信号,光信号,雷达信号等等。
信息安全体系结构
weixin_45060745的博客
03-16 1万+
信息安全体系结构是针对信息系统而言的,一般信息系统的安全体系结构是系统信息安 全功能定义、设计、实施和验证的基础,该体系结构应该在反映整个信息系统安全策略的基 础上,描述该系统安全组件及其相关组件相互间的逻辑关系和功能分配。这种描述的合理性 和准确性将直接关系信息系统安全策略的实现效果。
信息安全(网络安全顶会)
yntantan的博客
08-03 3836
最近课程要求总结了一下: 参考链接:https://www.cnblogs.com/zhangyuxiang666/p/10611646.html 信息安全四大顶会: 1.IEEE Symposium on Security and Privacy (Oakland)(S&P) 2.Usenix Security Symposium(USENIX) 3.ACM Computer and Communications Security Conference (CSS) 4.Symposium on N
信息安全产品认证
N2O_666的博客
12-23 7270
目前市场上通行的信息安全产品认证有三种,分别是: 1.《网络关键设备和网络安全专用产品安全认证证书》 2.《中国国家信息安全产品认证证书》 3.《IT产品信息安全认证证书》 其中《中国国家信息安全产品认证证书》、《网络关键设备和网络安全专用产品安全认证证书》为强制性认证证书,在产品功能和性能满足条件的情况下,两张证书可以同一产品同时认证同时发证。《IT产品信息安全认证证书》为自愿性认证证书。
什么是信息安全,怎么保障信息安全
✍千里之行,始于足下 ^,^
05-18 6949
1.信息安全简介 勒索病毒----2013年9月CryptoLocker “永恒之蓝”:主要是利用Windows系统的共享漏洞:445端口等。 “永恒之蓝”传播的勒索病毒以ONION和WNCRY两个家族为主,受 害机器的磁盘文件会被篡改为相应的后缀,图片、文档、视频、压缩 包等各类资料都无法正常打开,只有支付赎金才能解密恢复。 挖矿 2018年WannerMine挖矿,导致很多主机存在蓝屏和...
信息安全管理相关表格
02-05
信息安全管理相关表格知识点总结 信息安全管理是企业的生命线,保护企业的信息资产是第一要务。为确保信息安全,企业需要制定相关的信息安全管理制度和流程。本文将从信息安全管理相关表格的角度,总结与信息安全...
ZX信息安全概论 ZX信息安全概论
03-10
ZX信息安全概论是指对信息安全的总体概述,涵盖了信息安全的基本概念、信息安全的重要性、信息安全的威胁和防护措施等方面的知识。信息安全是指保护信息免受经授权的访问、泄露、修改、破坏或销毁的保护方法和技术...
信息安全培训体系
05-04
#### 信息安全培训体系的关键要素 - **内容管理**:根据需求和最新安全趋势,定期更新培训内容。 - **需求管理**:收集各方需求,确保培训内容贴合实际需要。 - **培训开发**:结合不同载体和形式,开发高质量...
网络信息安全技术
11-12
### 网络信息安全技术详解 #### 一、网络信息安全技术概述 随着互联网技术的快速发展,信息安全已成为企业和个人关注的重点。计算机网络不仅极大地方便了我们的日常生活和工作,同时也带来了诸多安全挑战。非法...
信息安全概论论文
07-10
### 信息安全概论知识点概述 #### 一、信息安全的基本概念及重要性 - **定义**:信息安全是指确保信息系统的硬件、软件、数据等免受意外或恶意行为的损害、更改或泄露,保障系统稳定可靠运行,确保信息服务不间断,...
Dynamic Village Ambience - 1.0.unitypackage
最新发布
08-20
Dynamic Village Ambience - 1.0.unitypackage
8051Proteus仿真c源码字符液晶显示的频率计
08-20
8051Proteus仿真c源码字符液晶显示的频率计提取方式是百度网盘分享地址
大学生创业计划书(25)-两份资料.doc
08-20
大学生创业计划书(25)-两份资料.doc
网络防火墙:数字世界的守卫者
08-20
【计算机网络开发】通常指的是开发计算机网络相关的软件和系统,包括但不限于以下几个方面: 1. **网络协议开发**:设计和实现用于网络通信的协议,如TCP/IP、HTTP、FTP等。 2. **网络应用开发**:开发运行在网络上的应用程序,如网页浏览器、电子邮件客户端、文件共享应用等。 3. **网络服务开发**:创建和管理网络服务,例如Web服务、数据库服务、云服务等。 4. **网络安全**:开发用于保护网络安全的软件,包括防火墙、入侵检测系统、加密技术等。 5. **网络设备驱动程序开发**:为网络硬件设备编写驱动程序,如网卡、路由器、交换机等。 6. **网络管理工具**:开发用于网络监控、管理和故障排除的工具。 7. **嵌入式网络系统**:开发用于嵌入式设备(如智能家居设备、工业控制系统)的网络功能。 8. **网络编程语言和框架**:使用特定的编程语言和框架(如Python、Java、Node.js等)进行网络应用的开发。 9. **分布式系统开发**:设计和实现分布式计算系统,这些系统可以跨多个物理位置运行。 10. **网络性能优化**:优化网络应用和系统的性能,确保
我国信息安全现状与挑战
信息安全主要包括个方面:保密性、真实性、完整性、防止经授权的拷贝以及系统的安全性。其根本目的是保护内部信息免受外部威胁,实现信息源认证和访问控制。随着社会的快速发展和无线通信的普及,信息安全的重要...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值