SQLインジェクションの脆弱性が、主に開発者がコードを構築、無入力の国境安全保障上の懸念、
攻撃者は、正当なエントリポイントで慎重に構築文の数を提出するため、バックグラウンドのデータベースを実行するためにそれらを欺く、情報漏洩の脆弱性データベースにつながることができます。
SQLインジェクション攻撃のプロセス
最初のステップ:注入点プローブ
- 自動モード:使用するWeb脆弱性スキャンツール、自動注入ポイントFOUND
- 手動モード:マニュアル構文SQL文のインジェクションポイントインジェクションテストFOUND
ステップ2:情報へのアクセス
注射によって得られた所望のドットデータを達成するために
- 1.環境情報:データベースタイプ、データベースのバージョン、オペレーティングシステムのバージョン、ユーザー情報、等
- 2.データベース情報:データベースのハニーポット、データベーステーブル、テーブルのフィールド、フィールドの内容(亀裂に暗号化されたコンテンツ)
第三段階:GET権限
- オペレーティング・システム権限を取得:シェルデータベースを実行することにより、トロイの木馬をアップロード
- インジェクションポイントタイプ
分類:SQL文に渡される入力変数は、ステッチの種類です
- 数値:USER_ID = $ ID
- 文字:USER_ID = '$のID'
- 検索の種類:テキストLIKE '%{$ _ GET [' 検索 ']}%' "
