libinjection随笔(一):sql注入分析库,libinjection编译使用

最新推荐文章于 2024-03-16 09:38:15 发布
最新推荐文章于 2024-03-16 09:38:15 发布
阅读量974 收藏 2
点赞数 1
分类专栏: Linux 文章标签: linux libinjection sql注入
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/slaron/article/details/106733796
版权

前言

SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编写时的疏忽,通过SQL语句,实现无账号登录,甚至篡改数据库。当出现了相关注入的操作时,锅还是会降临的……
在这里插入图片描述
那如何减少或者避免数据库注入的发生呢?

=========》libinjection

作为一个开源的sql注入和xxs攻击的词法解析库,它比较独特的是没有使用正则表达式而是一个完善的特征库来匹配检查SQL注入。相比传统正则匹配识别SQL注入在于速度快以及低误报,低漏报 。

源码网址如下:
http://www.github.com/client9/libinjection

一、编译源码

libinjection的检测原理在网上可以查到很多,在这就不做具体介绍了,主要介绍下如何编译使用。

1、编译代码

首先我们通过github下载libinjection的源码
在这里插入图片描述
然后我们将源码上传到 linux服务器上

在这里插入图片描述
我们进入src目录执行make命令
在这里插入图片描述
编译完成啦

二、使用测试

输入如下命令编译测试:

#输入命令
gcc -Wall -Wextra example1.c libinjection_sqli.c
#执行操作
./a.out "-1' and 1 = 1"
#输出结果
sqli with fingerprint of 's&1'

已经检测出符合注入条件的规则啦,是不是很简单呢。

这个是在linux下直接运行的,那么如果想在编译一个jar包做检测如何处理呢?

下一篇给大家介绍下如何调用libinjection生成的动态连接库。

胖胖的战士
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
libinjection:SQL SQLI标记器解析器分析
05-10
射液 SQL / SQLI标记生成器解析器分析器。 为了 C和C ++ (外部端口) [LuaJIT / FFI]( )(外部端口) 有关详细信息和演示,请参见 。 简单的例子: # include < stdio> # include < strings> # include < errno> # include " libinjection.h " # include " libinjection_sqli.h " int main ( int argc, const char * argv[]) { struct libinjection_sqli_state state; int issqli; const char * input = argv[ 1 ]; size_t slen = strlen (input);
cpp-Libinjectionpython是一个基于Cython的Libinjection封装
08-16
Libinjection-python是一个基于Cython的 Libinjection 封装
libinjection开源的研究总结
zhangge3663的博客
08-08 3965
一、前言       在项目中的需要增加detectSQLi和detectXSS方法,故研究一下libinjection中的源码结构。       如下图所示,在规则引擎中调用了detectSQLi之后,会跑到libinjection中执行libinjection_sqli,然后执行libinjection_sqli_init()初始化libinjection_sqli_state结构体,回调...
libinjection随笔(二):libinjection动态连接使用
小白的专栏
06-13 729
前面文章介绍过libinjection编译和例子的使用,那么如果需要在工程中使用编译好的动态连接该如何处理呢? 我们知道libinjection时c语言的代码,如何在java中调用呢? 提到c,提到java,难道是采用JNI来编写调用接口么,虽然可以,但是还有更方便的选择哦,那就是使用JNA。 只要你用过了 JNA (java native access) , 那你可能就再也不想用 JNI 了。 当然JNA还是无法取代JNI的啦,因为JNA只能java到c的访问,c到java的访问还是老老实实使用JNI吧
SQL注入libinjection分析(2)Libinjection
哈尼的博客
04-02 2880
SQL注入libinjection分析(2)Libinjection1. 什么是Libinjection?2. 源码3. Libinjection处理流程3.1 Libinjection总的框架3.2 libinjection_is_sqli() 处理3.3 libinjection对特征码的定义4. 举例子5. Libinjection总结5.1 Libinjection的优点参考 1. 什...
SQL注入libinjection分析(5)源码分析之指纹函数fingerprint和查找函数lookup_word剖析
哈尼的博客
06-22 1041
SQL注入libinjection分析(5)源码分析之指纹函数fingerprint和查找函数lookup_word剖析1. libinjection_sqli_fingerprint2. libinjection_sqli_lookup_word 1. libinjection_sqli_fingerprint /* 重新置位 sql_state 因为,sql注入三种形式都调用此接口,每次调用都重新置位 */ libinjection_sqli_reset /* libinjection
javascript学习随笔(使用window和frame)的技巧
10-31
`frame`则是在一个网页中分割出多个独立的区域,每个区域可以加载不同的网页内容,是实现网页布局和交互的一种手段。 ### `window`对象 `window`对象是JavaScript的全局对象,这意味着所有的变量和函数如果不声明...
Git使用随笔 Git原理、远端仓、本地仓、基本操作、问题解答
最新发布
06-17
Git原理、远端仓、本地仓、基本操作、问题解答。
豆粕年前随笔:持静、慎多.pdf
02-22
"豆粕年前随笔:持静、慎多"知识点总览 本文从豆粕市场分析的角度,讨论了豆粕价格波动的原因,特别是南美天气干旱和需求增长的影响。作者从多角度分析了豆粕市场,认为豆粕价格的涨跌取决于多种因素,包括气候条件...
教育行业周随笔:一对一教培模式简析.rar
09-06
《教育行业周随笔:一对一教培模式简析》这篇文档深入探讨了当前教育行业中备受关注的一对一教学培训模式。一对一教培模式是近年来在K-12教育领域中兴起的一种个性化教学方式,它强调根据每个学生的个体差异进行定制...
lua-ffi-libinjection:LuaJIT FFI绑定用于libinjection
05-11
名称 lua-resty-libinjection-用于libinjection的LuaJIT FFI绑定 地位 该正在积极开发中,可以投入生产 描述 该为 ,SQL / SQLi和XSS标记程序和分析器提供FFI绑定。 安装 像安装其他任何OpenResty lua模块一样,安装此libinjection共享对象文件必须存在于,因此您应该将.so文件符号链接或复制到适当的位置。 概要 access_by_lua_block { local libinjection = require " resty.libinjection " -- simple SQLi API local issqli, fingerprint = libinjection. sqli (string) -- context-specific bindings are
libinjection-sqlparser
03-26
Libinjection + sql-parser(已修改) 在测试之前安装sql-parser(sql-parser中的源代码) cd到sql-parser / 制作; 须藤使安装 怎么跑 ./检查“输入文件” 检查后共有3个文件外观: notSqlfFile.txt:查询与libinjection不匹配 cantParseFile.txt:查询匹配libinjection规则,但是sql-parser无法解析它们。 SqlParser.txt:查询匹配libinjection规则,并且sql-parser可以解析它们。 有很多输入文件
SQL 注入和特征码检测技术的规避
08-14
网络防火墙、IPS 和一些专用的 Web 应用防火墙技术试图通过传统的基于特征码的保护来识别 SQL 注入。特征码保护功能试图识别和阻止 Web 通信流内与 SQL 注入相关的文本模式。但是,实际经验证明,仅依赖特征码是不够的,无法彻底阻止 SQL 注入。
一年级三班随笔:在反思中,引领孩子向前进.doc
02-23
1. **反馈与反思**:文中教师在班级未能获得荣誉后,并没有责怪学生,而是引导他们进行自我反思,这是教育心理学中的重要一环。通过反思,学生能理解自己的行为对集体荣誉的影响,从而激发内在的动力去改变。 2. **...
android hook 框架 libinject2 简介、编译、运行
weixin_30767921的博客
02-11 170
Android so注入-libinject2 简介、编译、运行 Android so注入-libinject2 如何实现so注入 Android so注入-Libinject 如何实现so注入 Android so注入挂钩-Adbi 框架简介、编译、运行 Android so注入挂钩-Adbi 框架如何实现so注入 Android so注入挂钩-A...
SQL注入libinjection分析(3)源码分析之一些重要的结构体说明
哈尼的博客
05-18 829
SQL注入libinjection分析(3)源码分析1. libinjection_is_sqli参考 1. libinjection_is_sqli 指纹识别函数 待续…… 参考 https://zhuanlan.zhihu.com/p/44292411 https://zhuanlan.zhihu.com/p/44537204 https://www.anquanke.com/post/id/86097 ...
libinjectionSQL注入攻击检测
gitblog_00041的博客
03-16 438
libinjectionSQL注入攻击检测 libinjection是一个C语言编写的轻量级,用于检测HTTP请求中的SQL注入漏洞。它可以帮助开发者在应用程序的早期阶段发现和防止SQL注入攻击。 什么是SQL注入SQL注入是一种常见的网络攻击方法,通过在输入数据中嵌入恶意SQL代码,攻击者可以获取、修改、删除数据中的敏感信息。这种攻击方式通常利用了Web应用程序对用户输入数据的不恰当...
linux】在终端运行C程序,计算运行的时间
Kindavid的博客
04-25 675
#include "stdio.h"
安装SQL注入检测libinjection
梦想专栏
08-29 3971
github: https://github.com/client9/libinjection wiki:   https://github.com/client9/libinjection/wiki 在libinjection-go做优化: grapeSQLI(https://github.com/koangel/grapeSQLI) libinjection在2012年在Black Ha...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值