实际sql攻击案例及解决方案

最新推荐文章于 2021-02-11 11:02:21 发布
最新推荐文章于 2021-02-11 11:02:21 发布
阅读量1.2k 收藏
点赞数
分类专栏: database php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yangjiehuan/article/details/8808919
版权

    sql攻击,无非就是代码写的不严谨,或者就是开源代码惹的祸。

    今 天遇到一个问题,发现某个表的数据无法读取,例如user表,于是进了数据库,开始和hack的战争之路。

1. 首先进去数据库,查看这个表是否正常,例如user表,select count

2. 一般都是异常的,然后调用命令 show processlist,这是个查看进程的,如果你发现很多waiting 和sleep信息,证明有无数的link请求。

3. 进入日志目录 查看包含该表名的 一些执行日志

   命令如下: grep -H -R "user" /var/log/abc/111/ >> /var/log/reportjerry0415.log

   查看到

   /abc.jsp?id=1099%27+and+if%28ascii%28substring%28%28select+ecs_admin_user.password+from+hejian.ecs_admin_user+limit+0%2C1%29%2C28%2C1%29%29%3C100%2CBENCHMARK%281154709%2

4.大概就猜到了是注入,所以依次过滤并解决这些链接的参数

 5.最后查看 show processlist ,若正常了,就重启mysql

     命令是:  sudo /etc/init.d/mysql restart

yangjiehuan
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SQL注入攻击实战演练
Appleteachers的博客
04-20 869
今天要介绍的是SQL注入实验。SQL注入攻击的学习,我们更多的目的是为了学习攻击技术和防范策略,而不是刻意去攻击数据库。 首先我们先进入实验地址《SQL 注入》。 SQL注入是一种代码注入技术,过去常常用于攻击数据驱动性的应用,实质就是将恶意的SQL代码注入到特定字段用于实施拖库攻击等。SQL注入的成功必须借助应用程序的安全漏洞,例如用户输入没有经过正确地过滤(针对某些特定字符串)或者没有特别强调类型的时候,都容易造成异常地执行SQL语句。SQL注入是网站渗透中最常用的攻击技术,但是其实SQL注入可以用来攻
SQL 注入攻击
icy_xm的专栏
01-13 890
一位客户让我们针对只有他们企业员工和顾客能使用的企业内网进行渗透测试。这是安全评估的一个部分,所以尽管我们之前没有使用过SQL注入来渗透网络,但对其概念也相当熟悉了。最后我们在这项任务中大获成功,现在来回顾一下这个过程的每一步,将它记录为一个案例。 “SQL注入”是一种利用未过滤/未审核用户输入的攻击方法(“缓存溢出”和这个不同),意思就是让应用运行本不应该运行的SQL代码。如果应用毫无防备地创
应对黑客攻击SQL SERVER数据库中的一个案例
weixin_33961829的博客
07-06 362
    最近发现挂在网上server不知怎的,重新启动,那server现在主要是开始IIS服务,SQL SERVER 服务。远程登录。发现系统响应十分缓慢。一个明显的停滞感,打开任务管理器,CPU在基本用法30%大约。打开事件查看器,大量的级别为信息来源为MSSQL$PNCSMS,事件ID为18456。任务类别为登录的记录。差点儿24小时不间断,每秒钟有15次个记录,每一个记录的内容大体同...
SQL注入案例曝光,请大家提高警惕
di91399的博客
07-28 128
近日公司网站发现有无聊人进行SQL注入攻击,在这里曝曝光,在鄙视那些"无聊之人无聊之举"的同时,望大家提高安全意识。 日志记录内容是这样的Url:/(x(1)a(eq2io1uyygekaaaanwqxmge4ywytzwy5yi00ytbjlwjlmdatotllmtlmodaym2m5lcndikok9dche5rd2s_rxyhp43i1))/production/prodeta...
SQL注入漏洞过程实例及解决方案
09-08
本文将深入探讨SQL注入漏洞的过程,并提供具体的解决方案。 首先,让我们理解SQL注入漏洞是如何发生的。在上述代码示例中,`login`方法使用字符串拼接的方式构建SQL查询语句,如下所示: ```java String sql=...
VMware虚拟化解决策划方案及同类产品对比分析
06-29
- **重要应用服务器整合**:通过对五个企业使用案例的研究表明,VMware解决方案能够帮助企业实现: - 硬件成本降低28%~53%。 - 运维成本降低72%~79%。 - 综合成本降低29%~64%。 - **客户目标**:通过虚拟化技术...
SQL语言教程、案例代码、建议及注意项
04-21
### SQL语言教程、案例代码、建议及注意项 #### SQL简介 SQL(Structured Query Language),即结构化查询语言,是一种标准化的语言,主要用于管理和操作关系型数据库。它被广泛应用于多种场景,包括但不限于数据...
大数据可视化分析平台建设和应用总体解决方案.docx
09-16
### 大数据可视化分析平台建设和应用总体解决方案 #### 一、建设背景与目标 ##### 建设背景 随着信息技术的飞速发展,各行各业产生的数据量呈爆炸式增长,如何有效地管理和利用这些海量数据成为了一个重要的挑战。...
基于区块链的前端数据安全案例分析与总结.pptx
最新发布
05-26
- 网络攻击:如SQL注入、XSS攻击等。 - 恶意软件:通过病毒、木马等方式窃取数据。 - 网络钓鱼:欺骗用户泄露个人信息。 - 数据泄露:内部人员误操作或故意泄露数据。 3. **应对策略:** - 多因素身份验证:...
Sql注入攻击技术实战
08-10
sql注入一般针对基于web平台的应用程序 由于很多时候程序员在编写程序的时候没有对浏览器端提交的参数进行合法的判断,可以由用户自己修改构造参数(也可以是sql查询语句),并传递至服务器端 获取想要的敏感信息甚至执行危险代码和系统命令 就形成了sql注入漏洞,时至今日任然有很大一部分网站存在sql注入漏洞,可想而知sql注入攻击的危害,下面就目前sql注入攻击技术进行总结,让我们更加了解这种攻击与防御方法
SQL注入攻击及其解决方案--替换特殊字符.rar
09-02
SQL注入攻击及其解决方案--替换特殊字符.rar
SQL注入实例讲解
03-29
通过一个实例讲解sql注入
各种SQL攻击,跨站攻击,常见攻击解决方案
07-18
主要是关于各种SQL攻击,跨站攻击,以及常见的很多攻击方法的说明及解决方案
sql注入攻击实例mysql_MySQL 处理SQL注入攻击
weixin_34352414的博客
02-11 224
MySQL 处理SQL注入攻击如果您通过网页获取用户输入并将其插入到一个MySQL数据库中,则有可能让您对称为SQL注入的安全问题敞开大门。本课将教您如何帮助防止这种情况发生,并帮助您保护脚本和MySQL语句。比如当你要求用户输入他们的名字,这时候他们给你的不是名字而是一个MySQL语句,那么你可能会在不知不觉中运行这条SQL语句。永远不要相信用户提供的数据,只在验证后处理此数据.通常,这是通过...
有关SQL服务器被攻击的问题
02-03 83
前不久,配置好在IDC机房托管的服务器后,回到公司,想来是可以安心工作了。没想到过了几天经常发现程序运行不正常。最后一查之下发现是SQL服务找不到。连上服务器后,发现在SQL服务停了,重新开启,过了几分钟又这是类似情况。反复几次,还是不能解决。只有静下心来研究一下。结果发现定时会有不同IP向服务器的1433端口发送UDP数据包,就是这些数据包让SQL服务给停了的。唉,不得不再次说到重庆联...
sql攻击的总体思路+攻击实例+防止方法
wuhuagu_wuhuaguo的博客
03-31 584
一、SQL注入攻击的总体思路 1.寻找到SQL注入的位置 2.判断服务器类型和后台数据库类型 3.针对不同的服务器和数据库特点进行SQL注入攻击 二、SQL注入攻击实例 比如在一个登录界面,要求输入用户名和密码: 可以这样输入实现免帐号登录: 用户名: 'or 1 = 1 -- 密 码: 点登陆,如若没有做特殊处理,那么这个非法用户就很得意的登陆进去了.(当然现在的有些语...
ASP.NET-SQL注入攻击初级实例
winycg的博客
05-13 800
查询界面: 前台代码: " SelectCommand="SELECT * FROM [Teacher]">
sql注入攻击实例_【SEA分享】Web渗透——SQL注入攻击原理及实例
weixin_39664995的博客
12-09 2982
相信点进来的你和我一样看不懂标题。没关系,不妨先了解一下,为什么我在网址栏里输入一串网址,就可以访问到这个网页。了解通信原理之后能帮助你更好的理解后面实例中的一顿“操作”。web通信原理介绍IP:ip 实际上就是生活中的地址,好像 XX省XX市XX区...... ,只不过 ip 是由数字组成。IP 分为内网ip 和 公网ip,公网地址是运营商分配,内网地址是路由器分配的。域名:方便记...
"SQL注入攻击与防御(第2版):深入探讨SQL注入问题的安全技术经典译丛
它不仅提供了详细和系统的知识,还提供了实际案例解决方案,可以帮助读者提高对SQL注入攻击的识别和防御能力。同时,鉴于该书已经出版多年,读者还可以通过下载英文原版来获取最新的内容和技术。总之,《SQL注入...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值