随笔分类 -  网站安全

上一页 1 2

PHP与SQL注入攻击

摘要:SQL注入攻击是黑客攻击网站最常用的手段。如果你的站点没有使用严格的用户输入检验,那么常容易遭到SQL注入攻击。SQL注入攻击通常通过给站点数据库提交不良的数据或查询语句来实现,很可能使数据库中的纪录遭到暴露,更改或被删除。下面来谈谈SQL注入攻击是如何实现的,又如何防范。 看这个例子:// supposed input$name = “ilia’; DELETE FROM users;”;mys... 阅读全文

posted @ 2007-06-25 12:21 黔人阿诺 阅读(162) 评论(0) 推荐(0) 编辑

Dreamweaver中sql注入式攻击的防范

摘要:Dreamweaver+ASP可视化编程门槛很低,新手很容易上路。在很短的时间里,新手往往就已经能够编出看来比较完美的动态网站,在功能上,老手能做到的,新手也能够做到。那么新手与老手就没区别了吗?这里面区别可就大了,只不过外行人很难一眼就看出来罢了。界面的友好性、运行性能以及网站的安全性方面是新手与老手之间区别的三个集中点。在安全性方面,新手最容易忽略的问题就是SQL注入漏洞的问题。用NBSI 2... 阅读全文

posted @ 2007-06-25 12:21 黔人阿诺 阅读(261) 评论(0) 推荐(0) 编辑

防范Sql注入式攻击

摘要:Sql注入式攻击是指利用设计上的漏洞,在目标服务器上运行Sql 命令以及进行其他方式的攻击 动态生成Sql命令时没有对用户输入的数据进行验证是Sql注入攻击得逞的主要原因比如一个在线书店,可以根据用户的输入关键字搜索相关的图书。string name = GetUserInput("BookName");string script = "select table_book where book_n... 阅读全文

posted @ 2007-06-25 12:20 黔人阿诺 阅读(203) 评论(0) 推荐(0) 编辑

跨站式SQL注入技巧

摘要:学习如何从数据库中获取想要获得的内容,首先,我们先看看SQL注入的一般步骤: 第一节、SQL注入的一般步骤 首先,判断环境,寻找注入点,判断数据库类型,这在入门篇已经讲过了。 其次,根据注入参数类型,在脑海中重构SQL语句的原貌,按参数类型主要分为下面三种: (A) ID=49 这类注入的参数是数字型,SQL语句原貌大致如下: Select * from 表名 where 字段=49 ... 阅读全文

posted @ 2007-06-25 12:20 黔人阿诺 阅读(122) 评论(0) 推荐(0) 编辑

SQL注入攻击的原理及其防范措施

摘要:ASP编程门槛很低,新手很容易上路。在一段不长的时间里,新手往往就已经能够编出看来比较完美的动态网站,在功能上,老手能做到的,新手也能够做到。那么新手与老手就没区别了吗?这里面区别可就大了,只不过外行人很难一眼就看出来罢了。在界面的友好性、运行性能以及网站的安全性方面是新手与老手之间区别的三个集中点。而在安全性方面,新手最容易忽略的问题就是SQL注入漏洞的问题。用NBSI 2.0对网上的一些ASP... 阅读全文

posted @ 2007-06-25 12:19 黔人阿诺 阅读(220) 评论(0) 推荐(0) 编辑

利用instr()函数防止SQL注入攻击

摘要:学asp也有一段时间了,这几天一直在写自己的程序,也遇到了好多问题,我就不得不得考虑到一些现在的漏洞,比如,‘ 或 and 1=1等等的一些漏洞!别的先不管,今天我就来说说如何堵这个漏洞! 记得看了一篇文章(不记得什么时候看的了),他用到了instr这个函数,具体的应该是这样的。 If instr(Request("id")," ")>0 or instr(Request("id"),"'")... 阅读全文

posted @ 2007-06-25 12:19 黔人阿诺 阅读(213) 评论(0) 推荐(0) 编辑

编写通用的ASP防SQL注入攻击程序

摘要:SQL注入被那些菜鸟级别的所谓黑客高手玩出了滋味,发现现在大部分黑客入侵都是基于SQL注入实现的,哎,谁让这个入门容易呢,好了,不说废话了,现在我开始说如果编写通用的SQL防注入程序一般的http请求不外乎get 和 post,所以只要我们在文件中过滤所有post或者get请求中的参数信息中非法字符即可,所以我们实现http 请求信息过滤就可以判断是是否受到SQL注入攻击。 IIS传递给asp... 阅读全文

posted @ 2007-06-25 12:18 黔人阿诺 阅读(170) 评论(0) 推荐(0) 编辑

SQL Server应用程序中的高级SQL注入

摘要:摘要:这份文档是详细讨论SQL注入技术,它适应于比较流行的IIS+ASP+SQLSERVER平台。它讨论了哪些SQL语句能通过各种各样的方法注入到应用程序中,并且记录与攻击相关的数据确认和数据库锁定。这份文档的预期读者为与数据库通信的WEB程序的开发者和那些扮演审核WEB应用程序的安全专家。介绍:SQL是一种用于关系数据库的结构化查询语言。它分为许多种,但大多数都松散地基于美国国家标准化组织最新的... 阅读全文

posted @ 2007-06-25 12:18 黔人阿诺 阅读(140) 评论(0) 推荐(0) 编辑

SQL注入法攻击一日通

摘要:随着B/S模式应用开发的发展,使用这种模式编写应用程序的程序员也越来越多。但是由于程序员的水平及经验也参差不齐,相当大一部分程序员在编写代码的时候,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。用户可以提交一段数据库查询代码,根 据程序返回的结果,获得某些他想得知的数据,这就是所谓的SQL Injection,即SQL注入。SQL注入是从正常的WWW端口访问,而且表面看起来跟一般的W... 阅读全文

posted @ 2007-06-25 12:17 黔人阿诺 阅读(158) 评论(0) 推荐(0) 编辑

SQL注入漏洞全接触--高级篇

摘要:看完入门篇和进阶篇后,稍加练习,破解一般的网站是没问题了。但如果碰到表名列名猜不到,或程序作者过滤了一些特殊字符,怎么提高注入的成功率?怎么样提高猜解效率?请大家接着往下看高级篇。第一节、利用系统表注入SQLServer数据库SQLServer是一个功能强大的数据库系统,与操作系统也有紧密的联系,这给开发者带来了很大的方便,但另一方面,也为注入者提供了一个跳板,我们先来看看几个具体的例子:① ht... 阅读全文

posted @ 2007-06-25 12:17 黔人阿诺 阅读(182) 评论(0) 推荐(0) 编辑

SQL注入漏洞全接触--进阶篇

摘要:第一节、SQL注入的一般步骤首先,判断环境,寻找注入点,判断数据库类型,这在入门篇已经讲过了。其次,根据注入参数类型,在脑海中重构SQL语句的原貌,按参数类型主要分为下面三种:(A) ID=49 这类注入的参数是数字型,SQL语句原貌大致如下:Select * from 表名 where 字段=49注入的参数为ID=49 And [查询条件],即是生成语句:Select * from 表名 whe... 阅读全文

posted @ 2007-06-25 12:16 黔人阿诺 阅读(151) 评论(0) 推荐(0) 编辑

SQL注入漏洞全接触--入门篇

摘要:随着B/S模式应用开发的发展,使用这种模式编写应用程序的程序员也越来越多。但是由于这个行业的入门门槛不高,程序员的水平及经验也参差不齐,相当大一部分程序员在编写代码的时候,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。用户可以提交一段数据库查询代码,根据程序返回的结果,获得某些他想得知的数据,这就是所谓的SQL Injection,即SQL注入。 SQL注入是从正常的WWW... 阅读全文

posted @ 2007-06-25 12:08 黔人阿诺 阅读(156) 评论(0) 推荐(0) 编辑

上一页 1 2