當前位置:成語大全網 - 書法字典 - 什麽是盲目的SQL註入?

什麽是盲目的SQL註入?

SQL註入:通過使用現有應用程序將(惡意)SQL命令註入後臺數據庫引擎的能力,這是SQL註入的標準解釋。

隨著B/S模式的廣泛應用。

使用這種模式編寫應用程序的程序員越來越多,但由於開發人員的水平和經驗參差不齊,相當多的開發人員不向用戶輸入數據或

正是頁面中攜帶的信息(如Cookie)進行了必要的合法性判斷,導致攻擊者提交了壹個數據庫查詢代碼,並根據程序返回的結果獲得了壹些他想要的數據。

SQL註入使用正常的HTTP服務端口,這似乎與正常的web訪問沒有什麽不同,並且非常隱蔽,很難被發現。

SQL註入的攻擊過程分為五個步驟:

第壹步:判斷Web環境是否可以註入SQL。如果URL只是對網頁的訪問,則不存在SQL註入問題,例如:http://www.../16241473 9931 . shtml是普通的網頁訪問。SQL註入僅適用於動態查詢數據庫的企業,例如.../webhp?Id = 39,其中?Id = 39表示數據庫查詢變量,該語句將在數據庫中執行,因此可能會對數據庫造成威脅。

第二步:找到SQL註入點。完成上壹步的片段後,我們應該尋找可用的註入漏洞。通過輸入壹些特殊語句,我們可以根據瀏覽器返回的信息判斷數據庫類型,從而構建數據庫查詢語句來找到註入點。

第三步:猜測用戶名和密碼。數據庫中存儲的表名和字段名都是常規的。通過構造特殊的數據庫語句,依次在數據庫中搜索表名、字段名、用戶名和密碼的長度和內容。這種猜測過程可以通過大量在線註入工具快速實現,用戶的密碼很容易被破解網站破譯。

第四步:找到WEB管理的後臺入口。通常,WEB後臺管理的界面不是面向普通用戶的。

打開,要找到後臺的登錄路徑,可以使用掃描工具快速搜索可能的登錄地址,並依次嘗試,然後可以嘗試管理臺的入口地址。

第五步:入侵和破壞。成功登錄後臺管理後,您可以進行任何破壞活動,如篡改網頁、上傳木馬、修改和泄露用戶信息,並進壹步入侵數據庫服務器。

SQL註入攻擊的特點:

變種很多,有經驗的攻擊者會手動調整攻擊參數,這使得攻擊數據的變種不可計數,導致傳統的特征匹配檢測方法只能識別相當多的攻擊,難以防範。

攻擊過程很簡單。目前,互聯網上流行許多SQL註入攻擊工具。借助這些工具,攻擊者可以快速攻擊並破壞目標WEB系統。

這是非常有害的。由於WEB編程語言的缺陷和少數具有安全編程能力的開發人員,大多數WEB業務系統都有可能受到SQL註入攻擊。壹旦攻擊者攻擊成功,他就可以控制整個WEB業務系統並對數據進行任意更改,破壞力達到極限。

SQL註入的危害及現狀

SQL註入的主要危害包括:

未經授權操作數據庫中的數據。

惡意篡改網頁內容

私下添加系統帳戶或數據庫用戶帳戶。

網頁掛馬

如何防止SQL參數:

1,檢查上傳的數據並過濾。

2.禁止拼接SQL字符串

3.使用SQL參數化處理

4.負載入侵防禦等硬件設施。