本文深入探讨了SQL注入的各种绕过方法,如注释符号、大小写、编码等,以及防御策略,如代码转义、预处理。同时介绍了WAF类型,如硬件、软件和云端。讨论了sqlmap工具的使用,包括探测类型、风险等级和功能。还涵盖了XSS攻击的原理、类型、危害及修复方法,以及Webshell和上传漏洞的相关知识。
1.sql注入绕过的方法?
注释符号绕过、大小写绕过、内联注释绕过、双写关键字绕过、特殊编码绕过、宽字节绕过。
2.WAF常用的类型?
硬件设备类型、软件产品类型、基于云的WAF。
3.sql注入漏洞防御方法?
代码层面:对输入进行严格的转义和过滤;使用预处理和参数化。
网络层面:通过WAF设备启用防sql注入策略(或类似防护系统);云端防护(360网站卫士,阿里云盾等)
4.sqlmap支持几种类型的探测?
布尔类型的盲注;时间的盲注;报错注入;联合查询注入;堆查询注入。
5.sqlmap有几种风险等级,几种安全等级?
5种安全级别、4种风险等级。
6.sqlmap爆出所有用户的选项?
–users
7.sqlmap的功能?
主要功能是扫描,发现并利用给定的URL进行SQL注入。
8.如果后台过滤了and 和 or ,请问使用sqlmap的tamper如何绕过?
–tamper=space2comment.py #指定脚本进行过滤,用/**/代替空格
9.发现目标有sql注入漏洞,且权限为管理员权限,请问有哪几种方法可以进行上传webshell?
通过sqlmap进行上传;
通过上传文件的页面进行上传。
10.sqlmap支持哪些编程语言、及哪些数据库?
支持的编程语言有jsp,jspx,asp,php;
持的数据库有MySql、Oracle、Access、PostageSQL、SQL Server、I
最低0.47元/天 解锁文章
扫一扫
696
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
