10.万能密码
1.文件读写
盲注类型:
1.基于时间的盲注 sleep() benchmark()
2.基于布尔的注入
3.基于报错的注入
updatexml() extractvalue() floor() exp() Q
预防SQL注入的方法和原理?
A
1.预编译(数据库不会将参数的内容视为SQL命令执行,而是作为一个字段的属性值来处理)
2.PDO预处理(本地和Mysql服务端使用字符集对输入进行转义)
3.正则表达式过滤 (如果用户输入了非法信息则利用正则表达式过滤)
Q
SQL注入有哪些绕过方法?
A
1.大小写绕过注入
2.双写绕过注入
3.编码绕过注入
4.内联注释绕过注入
Q
SQL注入有哪些危害?
A
1.获取数据库数据
数据库中存放的用户的隐私信息的泄露,脱取数据库中的数据内容(脱库),可获取网站管理员帐号、密码悄无声息的进行对网站后台操作等。
2.网页篡改
通过操作数据库对特定网页进行篡改,严重影响正常业务进行与受害者信誉。
3.网页挂马
将恶意文件或者木马下载链接写入数据库,修
改数据库字段值,进行挂马攻击。
4.篡改数据库数据
攻击数据库服务器,篡改或者添加普通用户或者管理员帐号。
5.获取服务器权限
列取目录、读取、写入shell文件获取webshell,远程控制服务器,安装后门,经由数据库服务器提供的操作系统支持,让攻击者得以修改或控制操作系统。
Q
XSS的原理和类型?
A
原理:攻击者在Web页面中注入恶意的Script代码,当用户浏览该网页时,嵌入的Script代码会被执行,从而达到攻击的目的。
类型:反射型XSS存储型XSS DOM型XSSQ
XSS的绕过方法?
A