北京智恒联盟科技有限公司
版权所有©智恒联盟(www.zhihengit.com
)1/5
SQL 注入攻击原理分析
SQL 注入攻击是黑客对数据库进行攻击的常用手段之一。随着 B/S 模式应用开发的发
展,使用这种模式编写应用程序的程序员也越来越多。但是由于程序员的水平及经验也参差
不齐,相当大一部分程序员在编写代码的时候,没有对用户输入数据的合法性进行判断,使
应用程序存在安全隐患。用户可以提交一段数据库查询代码,根据程序返回的结果,获得某
些他想得知的数据,这就是所谓的 SQL Injection,即 SQL 注入。SQL 注入是从正常的 WWW
端口访问,而且表面看起来跟一般的 Web 页面访问没什么区别,所以目前市面的防火墙都
不会对 SQL 注入发出警报,如果管理员没查看 IIS 日志的习惯,可能被入侵很长时间都不会
发觉。但是,SQL 注入的手法相当灵活,在注入的时候会碰到很多意外的情况,需要构造
巧妙的 SQL 语句,从而成功获取想要的数据。
SQL 注入攻击的总体思路
9 发现 SQL 注入位置;
9 判断后台数据库类型;
9 确定 XP_CMDSHELL 可执行情况
9 发现 WEB 虚拟目录
9 上传 ASP 木马;
9 得到管理员权限;
SQL 注入攻击的步骤
一、SQL 注入漏洞的判断
一般来说,SQL 注入一般存在于形如:HTTP://xxx.xxx.xxx/abc.asp?id=XX 等带有参
数的 ASP 动态网页中,有时一个动态网页中可能只有一个参数,有时可能有 N 个参数,有
时是整型参数,有时是字符串型参数,不能一概而论。总之只要是带有参数的动态网页且此
网页访问了数据库,那么就有可能存在 SQL 注入。如果 ASP 程序员没有安全意识,不进行
资源评论
weixs2012-12-07不错的资料,学习了。
apple_J
- 粉丝: 0
最新资源
- 揭秘 AI 大模型提示词攻击工具:原理、类型与实战应用 AI 大模型提示词攻击工具大盘点:功能、效果与使用指南 深度解析:AI 大模型提示词攻击工具的运作机制与安全威胁 一文读懂 AI 大模型提示词攻
- 计算机信息管理技术在网络安全中的应用分析.docx
- 摄影网站的设计与实现.doc
- 现场总线技术在电厂自动化控制中的作用.docx
- Web实验中心管理.doc
- 综合布线国产化及关键技术的研究.docx
- 基于信息化高中特色校本课程开发与管理的研究.doc
- 计算机组成原理教学模式改革研究.docx
- ARMGPS定位信息显示器软件设计方案.doc
- 项目管理的三大控制要素及其相互关系探讨.docx
- 通信工程师z中级考试终端与业务—(简答、论述).doc
- 机械制造自动化术.doc
- 中小学教师计算机技术水平考核试卷全套.doc
- 基于大数据的档案信息安全管理.docx
- 计算机网络(自顶向下)复习.doc
- 模具CADCAM应用技术单元设计98.doc
资源上传下载、课程学习等过程中有任何疑问或建议,欢迎提出宝贵意见哦~我们会及时处理!
点击此处反馈
