- 注入的利用范围:
(1)获取数据库信息(网站数据)
(2)拿到web权限,或者服务器权限。
- 注入的发现和防护
(1)人为发现探测(手工探测,理解)
(2)工具扫描(avws,appscan等)
(3)CMS
修复
(1)代码修复(自定义过滤函数,自带函数)
(2)WAF防护(安全狗,web防火墙)
- 注意
(1)数据库类型
(2)参数类型
(3)提交方式(get,post,cookie,http
(4)其他复杂注入
- 学习思路
SQL注入含义:
Web应用程序对用户的输入合法性没有进行判断,前端传入后端的数据是可控的,并且将前端输入的参数带入到后端数据库查询,攻击者可以构造不同年的SQL语句来实现对数据库的任意操作。
危害:数据泄露,信息篡改,服务器入侵等等。
SQL注入原理:
1.输入参数用户可控
2.输入的语句可以带入数据库中进行查询