OWASP TOP 10 之第一大漏洞----sql 注入

最新推荐文章于 2024-05-26 21:09:14 发布
最新推荐文章于 2024-05-26 21:09:14 发布
阅读量626 收藏
点赞数 2
分类专栏: 十大漏洞 文章标签: sql php 数据库 web安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45926195/article/details/120534272
版权

目录

1.1注入原理

1.2注入分类

1.3如何找注入

1.4检测注入点

1.5注入提交方式

1.6注入攻击支持类型

1.7SQL 注入防护方法

1.8常用的工具

1.1注入原理

注入产生的原因是接受相关参数未经处理直接带入数据库查询操作。

1.2注入分类

数字型 字符型  搜索型  xx型

1.3如何找注入

1.3.1与数据库交互的相关页面

http://www.*****.com/***.asp?id=xx (ASP注入)

http://www.*****.com/***.php?id=xx (php注入)

http://www.*****.com/***.jsp?id=xx (jsp注入)

1.3.2登录的地方、更新的地方、注册的地方、留言板、查询、删除

1.3.3可能出现注入的地方:http头、cookices、referee、user agent,post提交数据包的地方

1.4检测注入点

单引号 或and 1=1 and 1=2

1.5注入提交方式

1)get提交

2)post提交

3)cookie提交

4)http header

1.6注入攻击支持类型

1.6.1union注入(联合注入)

1.6.2information_schema注入

1.6.3基于函数报错注入

1.6.4Http Header注入

1.6.5Cookie注入

1.6.6盲注

1.6.7宽字节注入(核心是必须是GDK编码)

1.7SQL 注入防护方法

1)函数过滤

2)下载防注入文件,通过incloud包含到网站配置文件里

3)白名单

4)PDO预处理

5)使用waf拦截

1.8常用的工具

sqlmap

qq_45926195
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
DVWA靶场,集成了owasp top 10漏洞
03-28
这个靶场集成了OWASP(Open Web Application Security Project)的Top 10漏洞,这些是网络应用最常见且最具危害性的安全问题。通过在DVWA实践,用户能够深入理解漏洞的原理,学习如何识别它们,以及如何利用这些...
反渗透,sql注入漏洞扫描工具
fengbin2005的专栏
09-15 854
程序漏洞扫描 xss漏洞查找
17-OWASP top10--SQL注入(二)
最新发布
XLbb的博客
05-26 1289
地址栏可以看见参数通过burp抓包(参数在请求体里)通过burp抓包(参数写到cookie里)请求头为:Referer、Accept、Cookie等User-Agent注入打开pikachu靶场环境;输入账户admin密码123456--用bp抓包拦截找到登陆地GET请求--发到bp重发器(Repeater)漏洞探测:去除User-Agent:内容,然后输入运行后观察MYSQL语法报错然后发现存在SQL注入漏洞。在User-Agent输入payload :(尝试获取数据库的信息)
OWASP ZAP的使用教程
热门推荐
fyj6699的博客
04-15 1万+
目录 1.配置网络代理: 2.zap被动扫描: 3.zap主动扫描: 4.标准流程(重点) 1.配置网络代理: 打开火狐浏览器: (以下箭头依次操作) 打开zap软件: 这两个端口要配置一致。 2.zap被动扫描: 输入要测试的网址,点击启动浏览器 3.zap主动扫描: 4.标准流程(重点) (1)打开zap,可选yes保存会话,下次就可以直接打开会话了,或者选no不保存会话,建议保存,避免二次手动爬网。 (2)身份验证,这里建议手动,其..
全方位指南:OWASP ZAP轻松发现网络应用安全漏洞
silenceallat的博客
03-14 1615
本文介绍了开源的网络应用安全扫描器OWASP ZAP,讲解了如何安装、配置和使用ZAP进行安全性测试。通过实际案例,我们了解了如何利用ZAP发现并验证SQL注入和跨站脚本攻击等常见安全漏洞。最后,我们强调了ZAP作为一种工具在网络安全的重要性,并提醒读者持续学习和实践以提高网络应用的安全性。
运用Burp Suite、OWASP ZAP与Kali Linux实操复现Web漏洞
Kali与编程
04-14 424
在Kali执行请求:在Kali Linux环境下,将导出的恶意请求转换成HTML文件,嵌入一个iframe或者通过JavaScript触发请求,诱导受害者点击或加载该页面。构造恶意请求:在Burp Suite构建一个恶意的POST请求,模拟目标站点的转账操作,然后将请求导出为cURL命令或保存为文件。主动扫描:同样地,通过主动扫描模式,ZAP会尝试向各种输入点注入XSS Payload,寻找触发点。验证漏洞:当受害者在不知情的情况下加载了包含恶意请求的页面时,若转账成功,则证实存在CSRF漏洞
OWASPTOP10--2021文版.rar
06-26
注入攻击是最常见的安全威胁之一,包括SQL注入、命令注入和LDAP注入等。攻击者通过输入恶意代码,欺骗应用程序执行非预期的操作,可能导致数据泄露、权限提升甚至系统瘫痪。预防方法包括使用参数化查询、输入验证和...
security-demo:OWASP TOP10&ESAPI 演示
07-12
1. **A1 - 注入攻击**:包括SQL注入、命令注入等,攻击者通过输入恶意数据影响后台执行的语句。 2. **A2 - 跨站脚本**(XSS):允许攻击者在用户的浏览器上执行恶意脚本,窃取用户数据或进行其他攻击。 3. **A3 - ...
AI安全 OWASP_TOP_10(2010文) - zbrush.zip
11-08
1. **SQL注入**:这是一种攻击方式,攻击者通过在用户输入的数据嵌入恶意SQL代码,以获取未经授权的数据访问或控制数据库服务器。防止SQL注入的方法包括参数化查询、输入验证和使用存储过程。 2. **跨站脚本攻击...
owasp10:Open Web Application Security Project Top10(2017)-演示演示
05-03
1. A1:注入:这是由于不充分的输入验证导致的,例如SQL注入、命令注入或LDAP注入。攻击者可以通过构造恶意输入来执行非授权操作,如读取、修改或删除数据库数据。 2. A2: Broken Authentication and Session ...
OWASPSQL注入
zzhokok的博客
07-26 765
原理:程序未对输入参数做限制,用户输入的数据可带入数据库查询 四种注入分类 三种提交方式 九种注入方式
OWASP学习之SQL注入
s11show_163的博客
02-28 973
一、sql注入注入点: 参数名 参数值 cookie 目录文件名 工具:sev3wvs或者啊D注入 是否存在sql注入: select * from news where id = 3-1' ##加单引号如果id=1‘、id=2‘、id=-1’、id=1 and 1=1‘ ##以及id=1‘ and1=2‘的返回结果不一样则说明存在注入。 ##也可以取消后面的单引号用‘#’或者‘...
owaspzap使用(文)
xiaozhao5212的博客
05-27 4283
​ 一、安装 下载地址:OWASP ZAP – Download Windows下载下来的是exe的,双击就可以了! Linuxg下载下来的不是.sh就是tar.gz,这个就更加简单了。 唯一需要注意的是: Windows和Linux版本需要运行Java 8或更高版本JDK, MacOS安装程序包括Java 8; 二、使用 1、初步使用ZAP 进程保留: 初次打开ZAP时,会看到以下对话框,询问是否要保持ZAP进程。 保存进程则可以让你的操作...
OWASP TOP 10(2021)之注入漏洞SQL注入和XSS注入
awbzda博客
04-26 3728
OWASP(Open Web Application Security Project),开放式web应用安全项目,而OWASP TOP 10是面向开发人员和 Web 应用程序安全性的标准意识文档,它代表了关于 Web 应用程序最关键安全风险的广泛共识。说白了,就是总结了国际公认的关于web安全的排名靠前的十大安全风险。 2021年的OWASP TOP 10为 A01:2021-破碎的访问控制 A02:2021-加密故障,以前称为敏感数据暴露 A03:2021-注入 A04:2021-不安全的设计 A
OWASP——SQL注入(一)
cas的无名博客
02-26 4539
对于OWASP发布的十大安全风险简单介绍在上一篇博文已经分享了,本文是对2013年发布的OWASP Top 10的A1注入部分进行分享学习。
owasp top10sql注入
weixin_48951041的博客
05-31 371
sql 注入:具体语句:查库名:select database();猜字段数:order by 3;暴库select group_concat(schema_name) from information_schema.schemata爆表select group_concat(table_name) from information_schema.tables where table_schema = database() %23爆字段select group_concat(column_name) fro
OWASP TOP10 - 注入
z4yn:)的博客
07-22 549
注入 注入漏洞说明:应用程序将用户可控制的输入解析为实际命令或参数。注入攻击取决所使用的技术及这些技术对输入的解析。常见的实例包括: SQL注入:将用户控制的输入传递给SQL查询时。攻击者可以传入SQL查询来操作此类查询的结果。当输入的恶意SQL语句传递到数据库查询时。可以查询,修改,删除数据库的信息。 命令注入:当用户输入传递给系统命令时。攻击者能够在应用程序服务器上执行任意系统命令。在服务器上执行任意系统命令,使攻击者可以访问用户系统,执行任意操作。 SQL注入...
OWASP TOP 10(一)SQL注入(自动化工具sqlmap)
Pluto.的博客
12-14 995
文章目录sqlmap1. 概述2. 基本参数检测注入点列出所有数据库名列出当前数据库名列出数据库名表名列出表字段名列出字段内容3. 读取post请求 sqlmap 1. 概述 sqlmap是一个开源渗透测试工具,它可以自动检测和利用 SQL 注入漏洞并接管数据库服务器。它具有强大的检测引擎,同时有众多功能,包括数据库指纹识别、从数据库获取数据、访问底层文件系统以及在操作系统上带内连接执行命令。 支持的数据库有: MySQL, Oracle, PostgreSQL, Microsoft SQL Serve
OWASP Top 10 2017:最严重的Web安全风险
OWASP Top 10 2017版的10大风险包括: 1. A1:注入(Injection) 这种攻击发生在用户输入的数据未经适当验证和清理就被用来构造数据库查询、命令执行或其他动态内容时。常见的注入类型有SQL注入、OS命令注入和LDAP...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值