mysql实验报告3_Web安全技术 实验报告三 SQL注入

最新推荐文章于 2024-06-25 18:15:00 发布
最新推荐文章于 2024-06-25 18:15:00 发布
阅读量536 收藏 2
点赞数 1
文章标签: mysql实验报告3
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42589700/article/details/113287212
版权
本文详细介绍了SQL注入的各种类型,包括数字型、字符型、搜索型、xx型、insert/update、delete注入、HTTP头注入(UA和Cookie)以及基于Boolean和时间的盲注。通过实例展示了如何利用payload获取数据库信息,揭示了SQL注入的安全风险。
摘要由CSDN通过智能技术生成

一、SQL注入

1.数字型注入

a071f34d76597dfefaa081b839c895d8.png

随便选一个,抓包

a6781b084653646836051cc6776e0091.png

可以看到是POST

直接加一个真命题

a765cf0e1c1df38deda9f5ec8a6059df.png

可以看到都爆出来了。

2.字符型注入

先输入‘ 有报错,所以存在SQL注入。

我们直接构造payload:1' or 1=1#

228544eaa0388d9a32acbefe3a6ef217.png

OK

3.搜索型注入

也是加单引号,发现报错,存在SQL注入点。

这个类型,我们推测用的是SQL语句中的like来进行模糊判断

那我们就可以猜测模糊查询的字段应该是'%查询内容%'

那么我可以构造

1%' or 1=1#

b65869d483933a0c1f18bf5bfe33d3e1.png

ok。

4.xx型注入

说白了就是闭合的符号不一样,我们构造payload

1') or 1=1#

3d26e9f7c46238a0386ef5a6b0373197.png

ok

5.insert/update注入

学过数据库,知道insert就是在数据库中添加数据

那么我们注册一个账号,是不是就是在数据库中添加了账号数据

那么我们可以在注册页面插入我们的注入语句

我们猜测后台的mysql语句应该是

insert into user(name,password,sex,phone,address1,address2) value('xxx',123,1,2,3,4)

那我们可以在xxx的位置构造我们的注入语句

xxx' or updatexml(

最低0.47元/天 解锁文章
高天艳阳
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
SQL注入攻击实验报告
05-07
SQL注入攻击实验报告,自己写了试验的网站,举了一些基本的攻击和防御方法,有xp_cmdshell的执行,用的是sqlserver 2005
SQL注入实验报告
热门推荐
fencecat的博客
12-31 1万+
实验项目 SQL注入 综合性实验 2020年9月25日 一、实验综述 1.实验目的及要求 创建VMWARE虚拟机 的Windows环境, 在虚拟机中安装phpstudy,并搭建DVWA环境,通过学习web工作原理与SQL注入工作原理,能够实现简单的SQL注入验证。 2.实验仪器、设备或软件 Vmware DVWA phpStudy 3.实验原理 (1)Web工作原理: Web服务器的本质就是 接收数据 ⇒ HTTP解析 ⇒ 逻辑处理 ⇒ HTTP封包 ⇒ 发送数据。 Web服务器的工作流...
浅析常见WEB安全漏洞及其防御措施_web漏洞防护
最新发布
Z4400840的博客
06-25 901
在网络攻防中,Web系统通常是攻击者的首选目标,攻击者大都通过Web打点的方式,先拿到边界Web服务器的权限,再以此为跳板实施内网横向渗透。由于Web系统通常涉及大量的用户数据和敏感信息,一旦受到攻击或破坏,可能造成数据泄露、服务中断等影响。相较于攻击方,Web系统也是防守方的重点防护对象。作为安全开发或安全运营人员,及早发现和修复潜在的WEB安全漏洞,不仅有助于提高互联网业务系统的稳定性,也能降低后期安全运营工作的压力和成本。【一一帮助安全学习,所有资源获取处一一】①网络安全学习路线。
SQL注入相关实验报告.doc
01-05
将恶意的SQL命令插入到输入域名或页面请求的查询字符串注入到后台数据库,输入恶意SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句。
1+X 网络安全运营平台与管理 sql注入实验报告
路baby的博客
11-18 2225
项目化考核 1+X 证书(网络安全运营平台管理) sql注入实验报告 实验目的:实验设备 (环境)实验要求:实验原理:实验步骤:实验总结:
SQl注入之读写文件注入实验报告
Devil_ping的博客
02-10 531
读写文件受到权限影响 secure_file_priv= 代表文件读写没有限制 secure_file_priv=NULL 代表没有读写文件权限 secure_file_priv= d:/phpstudy/mysql/aa 代表只能对该路径下文件进行读写 这个权限在数据库配置文件my.ini里,默认是没有的 读文件 loa...
《计算机网络安全实验》实验报告1
11-01
【计算机网络安全实验】实验报告1主要探讨了DVWA(Damn Vulnerable Web Application)中的PHP与MySQL环境下的SQL注入漏洞。该实验旨在让学生理解和掌握SQL注入的原理、利用方法以及防御措施。以下是实验涉及的主要...
天津理工大学信息安全专业网络攻防实验3-Web攻击与防御
11-28
实验报告 实验名称:Web攻击与防御 课程名称:网络攻击与防御技术 实验目的: 在本次实验中,主要目标是深入理解Web安全中的一个重要威胁——SQL注入,并掌握利用sqlmap工具进行POST注入攻击的方法。SQL注入是一种...
中科大信安SQL注入报告
07-11
### 中科大信安SQL注入报告 #### 一、背景介绍 本次实验是中科大信息安全导论课程的一部分,旨在通过实践让同学们理解SQL注入的基本原理及其防范措施。实验分为六个安全级别,每个级别的难度逐渐增加,通过对不同...
sql注入实验报告..pdf
08-26
SQL 注入实验报告 SQL 注入是一种常见的 Web 应用攻击方式,它可以使攻击者绕过认证机制,完全控制远程服务器上的数据库。在本实验报告中,我们将详细介绍 SQL 注入的基本概念、实验原理、实验步骤和防范方法。 一...
南京邮电大学-课程实验-Web安全-实验报告和源码说明.zip
05-12
【标题】"南京邮电大学-课程实验-Web安全-实验报告和源码说明.zip" 涵盖了Web安全领域的课程实验,其中包含了实验报告和源码的详细解释,旨在帮助学生深入理解和掌握Web应用的安全防护技术。该资源可能包括了HTML、...
sql注入攻击的详解
02-24
sql注入攻击的详细讲解sql注入攻击的详细讲解
实验吧-简单的sql注入2 Writeup
baynk的博客
07-28 283
抓紧时间来搞,事情越来越多。。。 过程 输入1'后有报错,单引号闭合,尝试了--+和%23均无法注释,又试过了构造闭合,发现and和or也都用不了。加上这次只要被检测出来就直接就有提示界面,并不像上一个那样有信息可看,感觉挺麻烦的。 于是判断到底是如何被检测的,然后试过了双写,大小写啥的,都不行,于是我直接把所有的空格都去掉了,写成了1'and1='1,这次总算有提示了。 从上面就能看出来,如果...
sql注入漏洞和实验
2303_81447649的博客
02-29 1204
发现不管输入什么都不管用了这个时候布尔盲注就不适合我们了,布尔盲注对于页面的正确和错误有不同的回显,如果页面一直没有变化我们就可以用时间盲注其实时间盲注和布尔盲注没有多大的差别,时间盲注多了if和sleep()函数。在将数据存入到了数据库中之后,开发者就认为数据是可信的,在下一次需要进行查询的时候,直接从数据库中取出了恶意数据,没有进行进一步的检验和处理,就会造成二次注入。SQL注入攻击的本质,服务器没有过滤用户输入的恶意数据,直接把用户输入的数据当做SQL语句执行,从而影响数据库安全和平台安全
墨者 - SQL手工注入漏洞测试(Access数据库)
吃肉唐僧的博客
07-05 688
order by 1 ,有回显,存在注入点 new_list.asp?id=1 and exists(select * from admin)测试是否存在admin,纯靠猜...... 存在admin表,接下来测回显位置 /new_list.asp?id=1 union select 1,2,3,4 from admin 接下来猜字段值,and exists ...
mysql联合注入_SQL 注入:联合注入
weixin_30585729的博客
01-20 168
SQL注入一直都是web安全的主要漏洞之一,数年来仍旧是最常见的漏洞,其主要是因为前后端进行数据交互时注入恶意的SQL语句,导致最终执行的语句拼接。往往是因为开发人员防护不严,导致未过滤敏感字符。联合注入联合注入是比较常见的一种,可以说是开发人员没有进行任何过滤。这里用PHP来进行简单的数据交互源代码:$id=$_GET['id'];$conn=mysqli_connect("localhost"...
网络管理mysql实验总结_网络安全实验报告 第二章
weixin_28884205的博客
02-05 414
利用TCP协议实现synflood攻击运行syn攻击程序,以靶机为目标主机对其发送syn数据包,查看目标主机状态。利用xdos工具进行攻击首先在192.168.1.3的目标机器上打开wireshark,过滤出ip.dst=192.168.1.3的IP包。再在192.168.1.2的发动攻击的主机上输入命令:192.168.1.3 135 -t 3 -s 55.55.55.55。利用wireshar...
2022.7.28皮卡丘靶场SQL注入作业
weixin_44503202的博客
07-29 698
sqlmap注入
SQL注入原理-手工联合注入查询技术
weixin_30672019的博客
09-17 410
实验报告记录 得到实验结果 转载于:https://www.cnblogs.com/ma1998/p/11536959.html
"MySQL数据库技术实验报告模板及实验报告内容详解
总的来说,本次实验报告总结了实验1和实验3的内容,对MySQL数据库技术的应用进行了详细的描述和总结。通过这次实验,我们对数据库的操作和管理有了更深入的了解和掌握,为我们今后的学习和工作打下了良好的基础。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值