ctf从入门到放弃:SQL漏洞的常见防范190510

最新推荐文章于 2021-10-16 15:24:37 发布
最新推荐文章于 2021-10-16 15:24:37 发布
阅读量253 收藏
点赞数
分类专栏: 学习日记 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43504939/article/details/90086282
版权

SQL Inject注入漏洞的防范:
 代码层面

  1. 对输入进行严格的转义和过滤
  2. 使用预处理和参数化(Parameterized )

 网路层面

  1. 通过WAF设备启用防SQL Inject注入策略(或类似防护系统)
  2. 云端防护(360网站卫士,阿里云盾等)

代码层面:
PHP防范转义+过滤

在这里插入图片描述

但其实效果并不是太好。
因为数据库版本会更新的,
已更新后可能会产生新的函数,新的语法,
那么就意味着存在新的注入点,
那么之前的代码防范又全部要更新,
这是一个极其麻烦的过程。

推荐的做法:使用PDO的prepare预处理(预处理+参数化)
在这里插入图片描述

这个啥意思。
这里的意思是说,
先对输入的东西做个处理,
然后按照一种特殊的形式传进去,
这个时候传进去的,被当作一个整体,不会再有分开来执行的效果,
同时许多数据库语言也支持参数化,这是较为安全,方便的。

SQL Inject注入漏洞的防范-网络防护

在这里插入图片描述

直接让黑客随便搞,
然后用一堵防火墙将所有的注入语句隔离掉。
在这里插入图片描述

最好从代码静态和网络动态多方面防护。

__N4c1__
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ctf入门放弃:暴力破解burt force学习笔记
爱党人士
05-02 1025
通过下面这些词来了解一下什么是暴力破解攻击: 自动化+连续性尝试+ 字典 burpsuite的使用 对于proxy的理解 对该选项卡理解很关键。 在对于没有需要验证码绕过的账号密码登陆界面, 可以结合手中的字典导入,用burpsuite强力破解。(简单的很快就可以破解到后台。) ...
【转】CTF-All-In-One(CTF入门放弃)pdf
03-20
CTF-All-In-One(CTF入门放弃) ——“与其相信谣言,不如一直学习。”
入门放弃
03-07 189
像我这种三十多岁的人,是不是有人跟我一样,对什么不了解的,都想一探究竟,然后了解后就弃之一旁。 以前学了下kubernetes,用了一段时间,知道怎么用了,在项目中的测试环境也使用了一段时间,然后就没再深入,慢慢的过了些时间就不再使用了; 学前端也是这样,学了基础的js,html,css,还有angularjs和nodejs等,框架搭建起来了,路由等知识点也熟悉了,用法也了解了,然后...
ctf入门放弃学习笔记:SQL inject 20190504
爱党人士
05-04 788
今天被吵(cao)得头痛得不行,晚上才开始看注入。。。。。 SQL Inject漏洞概述: 在owasp发布的top 10漏洞里面,注入漏洞一直是危害排名第一,其中主要指SQL Inject漏洞。 数据库注入漏洞,主要是开发人员在构建代码时,没有对输入边界进行安全考虑,导致攻击着可以 通过合法的输入点提交一些精心构造的语句,从而欺骗后台数据库对其进行执行,导致数据库信息 泄漏的一种漏洞。 简单的s...
CTF之MISC杂项从入门放弃
热门推荐
Azure_atk的博客
09-12 3万+
1、这是一张纯洁的图片? 用文本或者notepad++打开,可以找到: 这是Unicode编码,找个在线网站解码: 2、talent 打开文件: 用wireshark打开: 3、隐写2 这题当时做真的难啊!用HexEditXP打开修改属性: 4、又一张图片,还单纯吗? 放到虚拟机里用foremost分离(同binwalk): 5、多种方法解决 解压出
CTF入门到提升(一).docx
12-18
CTF入门到提升(一) CTF(Capture The Flag)是一种网络安全竞赛的形式,起源于西方传统运动,两军互相争夺旗帜,夺取敌军旗帜代表战败。在信息安全领域,CTF是通过各种攻击手法,获取服务器后寻找指定的字段,...
CTF入门到提升(二).docx
12-18
CTF入门到提升(二) CTF(Capture The Flag)是一种类型的网络安全挑战赛,旨在提高参与者的信息安全能力和实践经验。想要入门CTF,需要具备一定的基础知识和技能,本文将从入门到提升的角度,介绍CTF的基本概念...
CTF入门到提升教学视频
01-28
CTF能够锻炼选手对一些漏洞的理解能力,对安全研究、渗透测试也有一定的作用。越来越多的企业招聘安全从业人员时都会对CTF有一定的要求。
CTF入门到提升(三).docx
12-18
CTF入门到提升(三).docx
D 模块 CTF 防御
小小猪的博客
10-16 3490
第四部分:D 模块 CTF 夺旗-防御 总体要求:根据任务要求,参赛队通过扫描、渗透测试等手段检测自己堡垒 服务器中存在的安全缺陷,进行针对性加固,从而提升系统的安全防御性能。 注意:该模块所有的时间格式是数据包内设置时间格式为:flag{12:34:37.347025} 1)分析攻击者的IP地址并作为flag提交。flag:flag{xxx.xxx.xxx.xxx} flag:flag{192.168.1.180} 2)分析攻击者找到后台地址的时间。将黑客第一次访问的后台地址的时间(Tim..
CTF入门笔记(大家看看)
02-25
CTF入门笔记(大家看看)
CTF全栈指南(入门篇).pdf
01-01
CTF全栈入门CTF各类技能精通,web、逆向、pwn、密码学、杂项等等。 对新手更加友好,对CTF更加保存热情,
CTF 竞赛入门指南(ctf-all-in-one).pdf
09-07
一、基础篇;二、工具篇;三、分类专题篇;四、技巧篇;五、高级篇;六、题解篇;七、实战篇... 2000多页的电子书,讲解细致,值得搜藏。
VoLTE 从入门放弃
05-22
VoLTE
CTF web题总结--php函数漏洞
bob的博客
08-31 2623
php函数漏洞总结 1、ereg()截断漏洞 代码:<?php session_start(); if (isset($_POST['submit'])) { $verifycode = $_POST['verifycode']; $b = false; if (@ereg("^[1-9]+$", $verifycode) === FALSE) { $b = false;
ctfx从入门放弃SQL盲注190510
爱党人士
05-11 423
Sql-Inject漏洞-盲注 在有些情况下,后台使用了错误消息屏蔽方法(比如@)屏蔽了报错 此时无法在根据报错信息来进行注入的判断。 这种情况下的注入,称为“盲注” 根据表现形式的不同,盲注又分为based boolean和based time两种类型。 上面的知识要引申出来的一个逻辑是: 既然在盲注情况下,从页面上只能判断1,0的情况,那么我们可以对databae()的结果 截取一个字符...
ctf安全竞赛入门pdf_干货|漏洞利用、实战练习平台、CTF比赛资源库
weixin_39866487的博客
11-22 5198
一、漏洞利用、实战练习平台1、WebGoat漏洞练习环境https://github.com/WebGoat/WebGoathttps://github.com/WebGoat/WebGoat-Legacyhttps://github.com/RandomStorm/DVWA2、DoraBox,多拉盒 - 掌握常见漏洞攻防https://github.com/gh0stkey/Dor...
CTF线下防御战 — 让你的靶机变成“铜墙铁壁”
Yatere的天平秤
12-21 6946
一. 前言 随着CTF的普及,比赛的形式也有了越来越多的花样,对于线下赛来说,开始出现了安全加固或者防御战之类的环节,亦或者因为拿下靶机后不希望其他攻击者进入而进行“争夺”,无论什么形式,这些都需要我们对于服务器的防护工作有所了解。对于线下赛,笔者虽说没有什么很高超的攻防技巧,但也是有着一些自己的心得。本文总结了一些CTF线下赛中常用的服务器加固姿势,希望能对各位CTF朋友们有所帮助。环境针
一道CTF场景还原&&防御攻破
chengman3837的博客
12-26 484
1.文章难易度:【★★★】 2.文章知识点:php语法;php伪协议;ctf; 3.文 章 作 者:xiaoye 4.本文参与i春秋社区原创文章奖励计划,未经许可禁止转载! 前言 例行打卡,昨晚让一个bug弄得觉也没睡好。。果然我太菜。。本来是打算写XXE的,但是想起来了之前在一个...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值