web安全mysql基础

最新推荐文章于 2021-02-20 17:44:00 发布
最新推荐文章于 2021-02-20 17:44:00 发布
阅读量3.2k 收藏 2
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42094992/article/details/89811164
版权

1项目实验环境

目标靶机:OWASP_Broken_Web_Apps_VM_1.2

渗透测试机:Kali-linux-2018.2-vm-amd64

1.sql注入所实现的目的效果

(1).对于Web应用程序而言,用户核心数据存储在数据库中,例如MySQL、SQL Server、Oracle;

(2).通过SQL注入攻击,可以获取、修改、删除数据库信息,并且通过授权来控制web服务器等其他操作;

(3).SQL注入即攻击者通过构造特殊SQL语句,入侵目标系统,致使后台数据库泄露数据的过程;

(4).因为SQL注入漏洞造成的严重危害性,所以常年隐居OWASP  TOP10的榜首!

2.SQL注入危害

(1).拖库导致用户数据泄露;

(2).危害web等应用的安全;

(3).失去操作系统的控制权;

(4).用户信息被非法买卖;

(5).危害企业及国家安全;

3.SQL基础

(1).登陆OWASP上的mysql

命令:mysql -uroot -p‘owaspbwa’

(2).查看数据库

命令:show databases;

命令:select database(); 查看当前所在库  databases//查看数据库=/=/database//selec函数使用

命令;use dvwa;进入dvwa数据库

(3).查看收据库的表

show tables;  查看整个表的名字

(4).查看表结构

命令:desc users;

(5).查看表记录==查看表中的内容

命令:select * from users;   后加\G可以查看字段值

拓展

sql语句四类

sqlserver(T_SQL):
DDL—数据定义语言(CREATE,ALTER,DROP,DECLARE)

DML—数据操纵语言(SELECT,DELETE,UPDATE,INSERT)

DCL—数据控制语言(GRANT,REVOKE,COMMIT,ROLLBACK)

Oracle SQL(P_SQL) 语句可以分为以下几类:
1.数据操作语言语句[Data manipulation language,DML]
2.数据定义语言语句[Data definition language,DDL]
3.事务控制语句[transaction control statement]
4.会话控制语句[session control statement]

(6).查询指定字段值

 

 

 

火中的冰~
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
web安全mysql注入
zh_cn1的博客
08-10 93
mysql截取字符函数 substring、mid、substr均能提供字符截取功能,常用在mysql盲注中 堆叠注入 目标开启多条mysql语句执行功能,可以多条语句进行注入,需要用到;号,没啥特别的,就多执行一条语句而已 select注入 注入点在select_expr select $_GET['id'],content from news; 将用户输入替换为要查询的数据,然后利用as别名方法 select (select passwd from users) as title,content f
【24】WEB安全学习----MySQL注入-9(读写文件)
尚未佩妥剑 转眼便江湖
09-22 1813
这一章介绍下MySQL数据库访问操作系统的一些可利用的功能。 一、读文件 MySQL提供了允许load data infile命令高速地从一个文本文件中读取行,并装入一个表中,看下此命令的说明: load data infile '文件名' into table 表名 测试一下导入,提示“The MySQL server is running with the --secure-file...
mysql 安全 功防_《Web安全攻防 渗透测试实战指南 》 学习笔记 (五)
weixin_39751195的博客
01-27 102
第四章 Web安全原理解析 (一)(一)SQL注入的原理1.web应用程序对用户输入数据的合法性没有判断。2.参数用户可控:前端传给后端的参数内容是用户可以控制的。3.参数带入数据库查询:传入的参数拼接到SQL语句,且带入数据库查询。举个栗子:select * from users where id=1 and 1=1当1=1为真,且where语句中id也为真,页面会返回与id=1相同的结果。当...
owasp mysql默认密码_Web安全学习笔记之Kali部署DVWA和OWASPBWA
weixin_31090341的博客
01-19 1213
0x0 前言kali安装完成,下面要进行实战操作了,喵~~(OWASPBWA请直接跳到第八部分)#既然你诚心诚意的问了,我们就大发慈悲的告诉你!#为了防止世界被破坏!#为了守护世界的和平!#贯彻爱与真实的邪恶!#可爱又迷人的反派角色!#武藏 小次郎#我们是穿梭在银河的火箭队!#白洞!白色的明天在等着我们!#就是这样~喵~~~停...停.....停车!为了维护世界的和平,打靶的话当然是先需要练习,而...
OWASP——SQL注入(一)
cas的无名博客
02-26 4535
对于OWASP发布的十大安全风险简单介绍在上一篇博文已经分享了,本文是对2013年发布的OWASP Top 10中的A1注入部分进行分享学习。
WEB安全入门基础.pptx
08-24
WEB 安全入门基础工具包括 PHPStudy、Apache、PHP、Mysql 等工具,这些工具可以帮助我们更好地进行 WEB 安全测试。 WEB 安全入门基础概念 WEB 安全入门基础概念包括 WEB 安全的定义、WEB 安全的重要性、WEB 安全的...
webmysql_webmysql_
10-01
4. **安全更新**:保持WebMySQL及其依赖的软件(如PHP、MySQL)及时更新,以修复潜在的安全漏洞。 四、应用场景 WebMySQL适用于多种场景,例如: - 远程数据库维护和故障排查。 - 教育环境中教授数据库基础操作。...
Web安全技术及应用-项目2 Web开发基础
09-25
Web安全技术及应用-项目2 Web开发基础】主要涵盖了Web开发的基础知识,特别是与网络安全相关的方面,如SQL注入攻击的防护。以下是该主题的详细解释: **SQL注入攻击**是一种常见的网络安全威胁,通常发生在应用...
网易web安全《web基础知识》
06-07
网易推出的《Web基础知识》课程涵盖了Web开发的基础技术,包括HTML、CSS、JavaScript、PHP和MySQL,这些都是构建Web应用不可或缺的部分,同时也与Web安全息息相关。下面我们将深入探讨这些技术及其在Web安全中的作用...
PHP和MySQL Web开发
03-31
2. **MySQL基础**:理解数据库的概念,创建、删除和管理数据库,以及表结构设计,如字段类型、约束、索引等。 3. **PHP连接MySQL**:使用mysqli或PDO扩展进行连接,执行SQL查询,处理结果集,以及错误处理。 4. **...
信息安全学习1. 基本概念及一些国家标准
编程圈子-谢厂节的博客
07-09 2251
开放式Web应用程序安全项目(OWASP,Open Web Application Security Project)是一个组织,它提供有关计算机和互联网应用程序的公正、实际、有成本效益的信息。其目的是协助个人、企业和机构来发现和使用可信赖软件。——百度百科美国联邦贸易委员会(FTC)强烈建议所有企业需遵循OWASP所发布的十大Web弱点防护守则、美国国防部亦列为最佳实务,国际信用卡资料安全 技术P
OWASP——SQL注入(二)
cas的无名博客
03-03 3259
继SQL注入(一)对数据库注入的详细内容介绍及相关学习测试之后,本篇博文将对medium级别以及high级别进行分享学习测试结果。
Web基础配置篇(四): Mysql的配置及使用
feiyangtianyao的专栏
07-08 568
JavaWeb基础篇(四): Mysql的配置及使用 一、概述 MySQL 是最流行的关系型数据库管理系统,在 WEB 应用方面 MySQL 是最好的 RDBMS(Relational Database Management System:关系数据库管理系统)应用软件之一。 关系型数据库最典型的数据结构是表,由二维表及其之间的联系所组成的一个数据组织 优点: 1、易于维护:都是使用表结构,格式一...
web安全学习-sql注入-针对mysql的攻击
Shanfenglan's blog
02-20 1542
文章目录1. 前言2. 注入攻击2.1 爆数据库名2.2 爆破表名2.3 爆破字段名2.4 爆破字段值2.5 写文件3. 盲注4. 绕过av5. udf/mof6. 参考文章 1. 前言 总结完mysql数据库的基本操作后,我们来看看如何对mysql数据库进行sql注入攻击。 2. 注入攻击 2.1 爆数据库名 2.2 爆破表名 2.3 爆破字段名 2.4 爆破字段值 2.5 写文件 3. 盲注 4. 绕过av 5. udf/mof 6. 参考文章 Bypass disabled_functions一些思路
Crypto_30_vHsm_Types.h
07-09
Crypto_30_vHsm_Types
vmware虚拟机安装教程.pdf
最新发布
07-10
VMware虚拟机安装教程是一个详细且系统的过程,涵盖了从下载、安装到配置虚拟机的多个步骤。以下是一个详尽的VMware虚拟机安装教程,旨在帮助用户顺利搭建自己的虚拟环境。
11111111111
07-10
11111111111
nvidia平台torch-2.0.0.nv23.05-cp38-cp38-linux-aarch64安装包
07-09
特定版本的 PyTorch 包,专为 NVIDIA 的 Jetson 平台优化,并且适用于使用 Python 3.8 的 ARM64 架构(如 NVIDIA Jetson 系列设备)上的 Linux 操作系统 PyTorch 是一个广泛使用的开源机器学习库,主要用于深度学习和神经网络的构建和训练。它由 Facebook's AI Research Lab (FAIR) 开发和维护。 提供了强大的张量计算功能以及支持 GPU 加速的计算能力。
如何安全的配置和应用MySQL数据库.doc
01-12
本文档详细介绍了如何安全地配置和应用MySQL数据库,针对MySQL在Web应用中的广泛使用及其潜在的安全风险展开讨论。作者首先强调了对MySQL服务器安全性的重视,因为默认安装的MySQL存在安全隐患,例如root密码为空和...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值