sql注入的定义:
所谓sql注入,就是利用现有的应用程序的特性,攻击者通过在web表单.url等可输入数据的地方插入(恶意)sql语句一并原有sql语句被代库执行。sql命令就是前端应用程序和后端数据库的接口
sql注入的危害:
数据库敏感信息泄露.网页被篡改.挂马.数据库被恶意执行.服务器被远程控制.被安装后门....
sql注入常见分类:
sql注入的形成:
1.数据与代码未严格分离
2.用户提交的参数数据未做充分检查过滤即被代入到sql命令中,改变了原有sql命令“语义”,且成功被数据库执行
Sql注入常见的过程:
Sql注入在渗透测试过程中的作用:
绕过登录验证:使用万能密码登录网站后台等
获取敏感数据:获取网站管理员账号.密码等
文件系统操作:读取.写入.删除注册表.等
执行系统命令:远程执行命令
Sql注入漏洞频繁出现:
Sql漏洞判断的依据:
测试语句: