實踐有效的網站防SQL注入方法(二)

來源:互聯網
上載者:User

仲介交易 HTTP://www.aliyun.com/zixun/aggregation/6858.html">SEO診斷 淘寶客 雲主機 技術大廳

姊妹篇「《實踐有效的網站防SQL注入(一)》」跟大家交流了防止sql注入的黃金方法,從開發入手,在兩個層次解決,我想如果大家按照介紹的步驟都能夠做到,我想大家應該能夠做到很好的防禦效果。 但我們說,沒有100%的安全,網站的微小功能變動或升級都可能會對全域造成影響,這也就是為什麼eesafe網站安全聯盟收錄的網站還是有部分存在注入漏洞,那麼如何隨時關注網站是否存在這樣的安全問題?這就需要我們說的發掘, 瞭解和掌握如何發掘像sql注入這樣的網站漏洞。

  

不管你的網站採用的是什麼構架,php+mysql或jsp+oracle等等,其實際注入發掘的步驟基本是統一的,都有很大的相似性。 我簡單介紹一下eesafe在説明網站挖掘注入的基本方法。

1、判斷腳本系統(也就是判斷網站使用的是asp,php,jsp等)。

2、發現注入點,掃描注入漏洞(根據不同的腳本系統選擇合適的掃描注入方式)。

3、特殊注入點的判斷(8630.html">有時候注入點的腳本系統過濾了一些特殊字元,這時候就需要做轉移注入判斷測試)。

4、判斷資料庫類型。 (利用資料庫的系統變數、系統表判斷資料類型確定資料庫是MSSQL,MYSQL還是ORACLE)

5、判斷資料庫中的表結構(判斷資料庫名稱,庫中表名稱,表中欄位名,表中資料)。

6、判斷資料庫表中欄位的結構(使用猜解方式或讀取方式判斷表中欄位結構)

7、構造注入語句進行注入(構造特定注入語句獲取重要資料,如嘗試管理員帳戶或密碼)

這六部大致上就是一般的發掘步驟,在實際操作過程中可能會根據情況不同有細微的變化。 最後,將通過6部驗證的注入點提供給請求説明的網站,供修補注入漏洞。 大家可以將我們使用的挖掘注入的流程應用到自己的網站上做一個全面sql注入點發掘,當然,大家也可以用eesafe網站安全聯盟提供的線上偵查工具。 希望這篇和上篇「《實踐有效的網站防SQL注入(一)》」能給大家帶來説明。

  

原創文章,純手打,轉載請注明版權歸屬:EeSafe網站安全聯盟

轉載請以連結形式注明原文位址:EeSafe網路安全論壇HTTP://www.eesafe.com/bbs/thread-383-1-1.html

聯繫我們

該頁面正文內容均來源於網絡整理,並不代表阿里雲官方的觀點,該頁面所提到的產品和服務也與阿里云無關,如果該頁面內容對您造成了困擾,歡迎寫郵件給我們,收到郵件我們將在5個工作日內處理。

如果您發現本社區中有涉嫌抄襲的內容,歡迎發送郵件至: info-contact@alibabacloud.com 進行舉報並提供相關證據,工作人員會在 5 個工作天內聯絡您,一經查實,本站將立刻刪除涉嫌侵權內容。

A Free Trial That Lets You Build Big!

Start building with 50+ products and up to 12 months usage for Elastic Compute Service

  • Sales Support

    1 on 1 presale consultation

  • After-Sales Support

    24/7 Technical Support 6 Free Tickets per Quarter Faster Response

  • Alibaba Cloud offers highly flexible support services tailored to meet your exact needs.