SQL注入详解-2

< DOCTYPE html PUBLIC -WCDTD XHTML StrictEN httpwwwworgTRxhtmlDTDxhtml-strictdtd>

第二节、判断能否进行SQL 注入
看完第一节,有一些人会觉得:我也是经常这样测试能否注入的,这不是很简单吗? 其实,这并不是最好的方法,为什么呢? 首先,不一定每台服务器的IIS都返回具体错误提示给客户端,如果程序中加了cint( 参数) 之类语句的话,SQL 注入是不会成功的,但服务器同样会报错,具体提示信息为处理 URL 时服务器上出错。请和系统管理员联络。 其次,部分对SQL 注入有一点了解的程序员,认为只要把单引号过滤掉就安全了,这种情况不为少数,如果你用单引号测试,是测不到注入点的 那么,什么样的测试方法才是比较准确呢?答案如下:
&#9312;http://www.19cn.com/showdetail.asp?id=49
&#9313;http://www.19cn.com/showdetail.asp?id=49 and 1=1
&#9314;http://www.19cn.com/showdetail.asp?id=49 and 1=2
这就是经典的1=1 、1=2 测试法了,怎么判断呢?看看上面三个网址返回的结果就知道了: 可以注入的表现:
&#9312; 正常显示(这是必然的,不然就是程序有错误了)
&#9313; 正常显示,内容基本与&#9312;相同
&#9314; 提示BOF 或EOF (程序没做任何判断时)、或提示找不到记录(判断了rs.eof 时)、或显示内容为空(程序加了on error resume next ) 不可以注入就比较容易判断了,&#9312;同样正常显示,&#9313;和&#9314;一般都会有程序定义的错误提示,或提示类型转换时出错。 当然,这只是传入参数是数字型的时候用的判断方法,实际应用的时候会有字符型和搜索型参数,我将在中级篇的“SQL 注入一般步骤”再做分析。

posted @ 2006-11-09 00:23  netcorner  阅读(108)  评论(0编辑  收藏  举报