- 1在Linux系统中,可以使用ping和telnet命令来测试IP地址和端口是否连通_linux测试ip和端口
- 2【python】带你采集房源数据并作房价分析_python房屋价格数据来源
- 3爬虫实战(三):微博用户信息分析
- 4Visual Studio Code,是一款很好用的文本编辑器,安装扩展后可以大大提高效率。这次来介绍下VS Code远程连接Linux服务器使用docker构建镜像并运行的方法(上)。_vs code -lpthread 方最后可以
- 5vue3实现国际化_vue3 国际化
- 62022学习0323【腾讯云装docker】_error: unable to find a match: docker-ce
- 7C++ Primer习题集之第九章:顺序容器(Chapter 9)_list
lst; list ::iterator iter1 = lst.beg - 839个视频,涨粉16万的数字人书单账号实现方法及变现逻辑
- 9php建立服务器,利用 PHP 快速建立一个 Web 服务器
- 10《MySQL 简易速速上手小册》第4章:数据安全性管理(2024 最新版)
接口安全性测试技术(5):SQL注入_接口是否防恶意请求(sql注入)
赞
踩
DVWA环境搭建
DVWA-1.0.7.zip
http://IP:Port/dvwa/login.php。默认用户名 admin, 默认密码 password
什么是SQL注入
SQL注入是发生在应用程序数据库层的安全漏洞。简而言之,是输入的文本中注入SQL指令,在设计不良的程序当中忽略了检查,那么这些注入进去的指令就会被数据库服务器误认为是正常的SQL指令而执行,因此遭到破坏。
SQL注入类型
1.数字型注入
http://www.test.com/msg/test.php?myno=1’
http://www.test.com/msg/test.php?myno=1 or 1=1
http://www.test.com /msg/test.php?myno=1 and 1=2
http://www.test.com/msg/test/php?myno=1 or
‘abc’=‘ab’||‘c’
- 字符串注入
http://www.test.com/msg/test.php?mychar=aaaa’
http://www.test.com/msg/test.php?mychar=aaaa’ or
‘1’=‘1
http://www.test.com /msg/test.php?mychar=aaaa’ and
‘1’=‘2
http://www.test.com/msg/test/php?mychar=aaaa’ or
‘abc’=‘ab’||'c
- 终止式SQL注入
SQL注入防范
使用绑定变量
使用存储过程
检查数据类型
使用安全函数
ESAPI.encoder().encodeForSQL
OWASP防御方案,服务端输入校验和输出编码
规则一:进入HTML标签
HTML编码,& -> &
ESAPI.encoder().encodeForHTML
规则二:进入HTML属性值
value,width,height等,编码单引号和双引号为&#xHH
ESAPI.encoder().encodeForAttribute
规则三:进入JavaScript中
ESAPI.encoder().encodeForJavaScript
规则四:进入CSS中
ESAPI.encoder().encodeForCSS
规则五:进入URL
对特殊字符采用%HH编码
ESAPI.encoder.encodeForURL
下一节:更新接口安全测试之XS
