一、SQL注入概念
SQL注入即iSQL Injection,是指攻击者通过注入恶意的SQL命令,破坏SQL查询语句的结构,从而达到执行恶意SQL语句的目的。SQL注入漏洞的危害是巨大的,常常会导致整个数据库被“脱裤”,尽管如此,SQL注入仍是现在最常见的web漏洞之一。
二、SQL注入过程
SQL注入攻击可以手工进行,也可以通过SQL注入攻击辅助软件,如:HDSI、Domain、NBSI、SQLMap等,其实现过程可以归纳为以下几个阶段:
- 寻找SQL注入点
- 获取和验证SQL注入点
- 获取信息
- 实施直接控制
- 间接进行控制
三、攻击载体
- GET请求
- POST请求
- HTTP头
- cookie
四、注入类型
- Time-based blind SQL injection(基于时间延迟注入)
- UNION query SQL injection(可联合查询注入)
- Error-based SQL injection(报错型注入)
- Boolean-based blind SQL injection(布尔型注入)
- Stacked queries SQL injection(可多语句查询注入)
也可分为
- 数字型注入
- 字符型注入
- 搜索型注入
五、后台登录万能密码
asp aspx万能密码
1:"or “a”="a
2:’.).or.(’.a.’=’.a
3:or 1=1–
4:‘or 1=1–
5:a’or’ 1=1–
6:"or 1=1–
7:‘or.‘a.’=‘a
8:“or”="a’=‘a
9:‘or’’=’
10:‘or’=‘or’