2019-09-0900:40:44
SQLインジェクション(A)
----脆弱性は、プラットフォーム・ビデオ教示から及びます
1、SQLインジェクションの定義
既存のアプリケーションの機能を使用すると、攻撃者によるWebフォーム、のURL既存のSQL文と一緒に挿入(悪質な)SQL文は、ライブラリーの代わりに実行されると、他の場所を入力することができるデータ。SQLコマンドは、フロントエンドアプリケーションとバックエンドのデータベース間のインタフェースです。
SQLインジェクションカテゴリ:
2、SQLインジェクションが発生します
1、データ及びコード厳密に分離しません。
2、完全な検査を濾過することなく、ユーザによって提出されたパラメータデータ、すなわち、SQLコマンドで「意味」に変更するコマンドを置換し、データベースが正常に実行されました。
一般的なSQLインジェクションのプロセス
3、射出テストの浸透でSQLの役割
ログイン認証をバイパス:舞台裏のウェブサイトを訪問ユニバーサルパスワードを使用します
機密情報やデータへのアクセス:アカウント、パスワードなどのWeb管理者へのアクセス
ファイルシステム操作:コラムディレクトリ、読み取り、ファイルを書き込みます
レジストリの操作:読み取り、書き込み、削除などのレジストリ
注文実行システム:リモートコマンドの実行
図4は、SQLインジェクションの脆弱性が頻繁に発生します
推奨5、SQLインジェクションの脆弱性(スキャナ)
Safe3wvs、BurpSuite、AppScanの、会社のAcunetix WVS
6、SQLインジェクションの脆弱性の判断根拠
7、共通テストSQL文とテスト文スキル---
MySQLの注入共通テスト声明
8.一般的なSQL文とスキルテスト - コメント文字