SQL注入攻击三部曲之入门篇

最新推荐文章于 2024-01-18 08:30:00 发布
最新推荐文章于 2024-01-18 08:30:00 发布
阅读量8.3k 收藏 46
点赞数 5
分类专栏: 数据库 文章标签: sql sqlserver 数据库 服务器 access 测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wksnm0724/article/details/6875005
版权
本文介绍了SQL注入攻击的基本原理和方法,通过实例展示了如何通过1=1、1=2测试法判断是否存在注入点。还讨论了如何根据服务器返回的错误信息推断数据库类型,如利用SQLServer的user变量获取数据库用户名。此外,文章提到了Access和SQLServer的区别,以及在不同数据库中判断类型的技术。
摘要由CSDN通过智能技术生成

如果你以前没试过SQL注入的话,那么第一步先把IE菜单=>工具=>Internet选项=>高级=>显示友好 HTTP 错误信息前面的勾去掉。否则,不论服务器返回什么错误,IE都只显示为HTTP 500服务器错误,不能获得更多的提示信息。



    服务器安全管理员和攻击者的战争仿佛永远没有停止的时候,针对国内网站的ASP架构的SQL注入攻击又开始大行其道。本篇文章通过SQL注入攻击原理引出SQL注入攻击的实施方法,旨在企业安全管理员能够通过技术学习提升自己的安全意识。

    第一节、SQL注入原理

    以下我们从一个网www.mytest.com开始(注:本文发表前已征得该站站长同意,大部分都是真实数据)。

    在网站首页上,有名为“IE不能打开新窗口的多种解决方法”的链接,地址为:http://www.mytest.com/showdetail.asp?id=49,我们在这个地址后面加上单引号’,服务器会返回下面的错误提示:

    Microsoft JET Database Engine 错误 '80040e14'

    字符串的语法错误 在查询表达式 'ID

    最低0.47元/天 解锁文章
    zhangdaye12345
    关注
    专栏目录
    [网络安全自学篇] 七十七.恶意代码与APT攻击中的武器(强推Seak老师)
    杨秀璋的专栏
    05-14 1万+
    这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了逆向分析之OllyDbg动态调试工具,包括INT3断点、反调试、硬件断点和内存断点。这篇文章将带大家学习安天科技集团首席架构师肖新光老师(Seak)的分享,介绍恶意代码与APT攻击中的武器,包括A2PT的攻击武器、普通APT组织的自研恶意代码、商用恶意代码、无恶意代码作业、开源和免费工具等。作者很少会在标题写“强推”的字样,但这篇文章真的值得学习,也希望对您有所帮助。
    [网络安全自学篇] 八十八.基于机器学习的恶意代码检测技术详解
    杨秀璋的专栏
    07-19 1万+
    这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了传统的恶意代码检测技术,包括恶意代码检测的对象和策略、特征值检测技术、校验和检测技术、启发式扫描技术、虚拟机检测技术和主动防御技术。这篇文章将介绍基于机器学习的恶意代码检测技术,主要参考郑师兄的视频总结,包括机器学习概述与算法举例、基于机器学习方法的恶意代码检测、机器学习算法在工业界的应用。同时,我再结合自己的经验进行扩充,详细分享了基于机器学习的恶意代码检测技术,基础性文章,希望对
    SQL注入攻防入门详解
    11-12
    SQL注入攻防入门详解
    sql注入攻击的入门
    bigbigworld666的博客
    01-12 352
    学习笔记 1月12日 使用某攻防平台中的靶机对sql的布尔盲注的学习进行了验证 进入靶场环境,给出一个网站的页面。 首先寻找注入点,小白刚入门不是很会,所以注入点找了一会,就在通知里面,然后使用sqlmap来跑很快就搞定了 sqlmap.py -u “http://219.153.49.228:40014/new_list.php?id=1” --dbs sqlmap.py -u “http...
    小白的SQL注入攻击入门
    es0202的博客
    05-13 1312
    SQL注入攻击示意图:最开始是想找个有漏洞的网站进行SQL攻击,网上了解到inurl:TeachView.asp是一个有漏洞的网址,而且我搜索的时候确实还有很多网站包含了这个漏洞,但是可能应为众所周知的问题,我试着进入了几个网站,有好几个都提示了禁止访问。下面这个网站用了恒等式or 1=1可以访问:(看url) 并且猜测到了字段名和数据库名为:users和admin 但是下面这个网站就禁
    SQL注入攻击入门
    hanweimeng的博客
    10-09 403
    SQL注入攻击     SQL攻击SQL injection),简称注入攻击,是发生于应用程序之数据库层的安全漏洞。简而言之,是在输入的字符串之中注入SQL指令,在设计不良的程序当中忽略了检查,那么这些注入进去的指令就会被数据库服务器误认为是正常的SQL指令而运行,因此遭到破坏。     有部份人认为SQL注入攻击是只针对Microsoft SQL Server而来,但只要是支持批量处理
    SQL注入——入门篇
    热门推荐
    个人笔记
    07-09 4万+
    SQL注入 快捷键 加粗 Ctrl + B 斜体 Ctrl + I 引用 Ctrl + Q 插入链接 Ctrl + L 插入代码 Ctrl + K 插入图片 Ctrl + G 提升标题 Ctrl + H 有序列表 Ctrl + O 无序列表 Ctrl + U 横线 Ctrl + R 撤销 Ctrl + Z 重做 ...
    动力节点老杜-JDBC入门到精通(数据库连接)
    d586947的博客
    02-23 367
    仔细阅读完这篇文章,JDBC的相关知识一定会有所掌握。在阅读的过程中,有任何不理解的地方都欢迎留言讨论。 JDBC介绍 JDBC(Java DataBase Connectivity)是Java和数据库之间的一个桥梁,是一个规范而不是一个实现,能够执行SQL语句。它由一组用Java语言编写的类和接口组成。各种不同类型的数据库都有相应的实现,本文中的代码都是针对MySQL数据库实现的。 若有疑问可观看视频教程:JDBC从入门到精通视频教程-JDBC实战精讲_哔哩哔哩_bilibili看完本套视频学习HT
    人工智能学习之路
    u011473714的专栏
    06-08 4万+
    课程体系阶段一、人工智能基础 - 高等数学必知必会本阶段主要从数据分析、概率论和线性代数及矩阵和凸优化这四大块讲解基础,旨在训练大家逻辑能力,分析能力。拥有良好的数学基础,有利于大家在后续课程的学习中更好的理解机器学习和深度学习的相关算法内容。同时对于AI研究尤为重要,例如人工智能中的智能很大一部分依托“概率论”实现的。一、数据分析1)常数e2)导数 3)梯度 4)Taylor5)gini系数6)...
    命令注入流程
    西部壮仔的博客
    07-17 329
    命令注入一般分为下面三个步骤 是否调用了系统命令 函数或函数的参数是否可控 是否拼接注入命令
    .NET 分享两个SQL注入防御加固解决方案
    最新发布
    ahhacker86的专栏
    01-18 1024
    SQL 注入绕过技术是一个老生常谈的话题,很多网站都接入了 WAF 等安全产品以此增强拦截和抵御 SQL 注入攻击的能力,另外从纵深防御的策略看还有在应用内部嵌入安全防护模块增强对请求输入参数进行过滤和拦截。下面提供两个防止注入漏洞产生的解决方案。
    sql注入——单引号注入(sqli-labs-less1)
    pluto_23的博客
    07-22 4553
    sql注入的基本步骤: 1.判断是否有注入(判断是否严格校验)——第一个要素 1)可控参数的改变能否影响页面显示结果 2)输入的sql语句是否能报错--能通过数据库的报错看到一些数据库的语句痕迹 3)输入的sql语句能否不报错——我们的语句可以成功闭合 2.判断是什么类型的注入 3.语句是否能够被恶意修改(如添加单引号,双引号等)——第二个要素 4.是否能够成功执行——第三个要素 5.获取我们想要的数据 数据库->表->字段->值 环境选择:sqli-l...
    SQL注入基础入门篇 注入思路及常见的SQL注入类型总结
    好好睡觉
    03-04 8159
    SQL注入基础部分、注入脚本、常见注入类型分类、报错注入、联合查询思路
    sql注入
    弱水三千 只取一韶
    03-08 1759
    SQL注入攻防入门详解 =============安全性篇目录==============   毕业开始从事winfrm到今年转到 web ,在码农届已经足足混了快接近3年了,但是对安全方面的知识依旧薄弱,事实上是没机会接触相关开发……必须的各种借口。这几天把sql注入的相关知识整理了下,希望大家多多提意见。 (对于sql注入的攻防,我只用过简单拼接字符串的注入及参数化查询,可
    SQL注入思路分析(入门必看)
    Pz_mstr's Blog
    08-14 9919
    纵观各种教程,有稍微讲解一下直接po步骤的,有对原理讲的很仔细的但步骤不明确的,因此便想做一个教程,将每一步写清楚,将思路理顺,让SQL注入入门不再困难!
    SQL注入过滤单引号是否无解
    u012064609的专栏
    12-18 2万+
    sql注入攻击能够得逞,往往是因为前台页面传递的参数含有非法字符,导致sql原有逻辑发生改变。如经典的登录验证例子 程序处理:select * from tableXX where username
    SQL注入的一个简单实例
    u012436758的博客
    12-25 1万+
    很多Web应用程序都使用数据库来存储信息。SQL命令就是前端Web和后端数据库之间的接口,使得数据可以传递至Web应用程序。很多Web站点都会利用用户输入的参数动态地生成SQL查询要求,攻击者通过在URL、表单域,或者其他的输入域中输入自己的SQL命令,以此改变查询属性,骗过应用程序,从而可以对数据进行不受限的访问。
    sql注入入门
    lelemom的博客
    11-21 692
    参考文章:https://www.cnblogs.com/sdya/p/4568548.html 正常的语句 select * from users where username='marcofly' and password=md5('test') 异常操作: 在用户名输入框中输入:’ or 1=1#,密码随便输入,这时候的合成后的SQL查询语句为:   select * from u...
    SQL注入攻击详解与防范策略
    "本文主要探讨了SQL注入攻击的原理及其防范措施,重点在于帮助新手理解这一常见安全问题并提供解决方案。SQL注入攻击是由于程序员在编写代码时未对用户输入数据进行有效验证,导致恶意用户可以插入有害的SQL语句,...
    评论 13
    添加红包

    请填写红包祝福语或标题

    红包个数最小为10个

    红包金额最低5元

    当前余额3.43前往充值 >
    需支付:10.00
    成就一亿技术人!
    领取后你会自动成为博主和红包主的粉丝 规则
    hope_wisdom
    发出的红包
    实付
    使用余额支付
    点击重新获取
    扫码支付
    钱包余额 0

    抵扣说明:

    1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
    2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

    余额充值