第2课:什么是SQL注入
摘要:SQL注入:利用现有应用程序,将(恶意)的SQL命令注入到后台数据库引擎执行的能力,这是SQL注入的标准释义。随着B/S模式被广泛的应用,用这种模式编写应用程序的程序员也越来越多,但由于开发人员的水平和经验参差不齐,相当一部分的开发人员在编写代码的时候,没有对用户的输入数据或者是页面中所携带的信息(如Cookie)进行必要的合法性判断,导致了攻击者可以提交一段数据库查询代码,根据程序返回的结果,获得一些他想得到的数据。SQL注入利用的是正常的HTTP服务端口,表面上看来和正常的web访问没有区别,隐蔽性极强,不易被发现。SQL注入过程如上图所示,SQL注入攻击过程分为五个步骤:第一步:判断We
阅读全文
posted @
2013-05-08 11:33
Ruthless
阅读(3145)
推荐(1) 编辑
第1课:SQL注入原理深度解析
摘要:对于Web应用来说,注射式攻击由来已久,攻击方式也五花八门,常见的攻击方式有SQL注射、命令注射以及新近才出现的XPath注射等等。本文将以SQL注射为例,在源码级对其攻击原理进行深入的讲解。一、注射式攻击的原理注射式攻击的根源在于,程序命令和用户数据(即用户输入)之间没有做到泾渭分明。这使得攻击者有机会将程序命令当作用户输入的数据提交给Web程序,以发号施令,为所欲为。为了发动注射攻击,攻击者需要在常规输入中混入将被解释为命令的“数据”,要想成功,必须要做三件事情:1.确定Web应用程序所使用的技术注射式攻击对程序设计语言或者硬件关系密切,但是这些可以通过适当的踩点或者索性将所有常见的注射式
阅读全文
posted @
2013-05-08 08:39
Ruthless
阅读(8230)
推荐(2) 编辑
SQL注入目录
摘要:第1课:SQL注入原理深度解析第2课:什么是SQL注入
阅读全文
posted @
2013-05-08 08:38
Ruthless
阅读(1836)
推荐(0) 编辑
