首页 > 数据库 >web基础漏洞-sql注入

web基础漏洞-sql注入

时间:2023-10-20 20:22:40浏览次数:33  
标签:语句 web 漏洞 sql 盲注 注入

1、介绍

sql注入,是目标网站提供了接口,使得攻击者可以从前端提交数据,然后未经过严格检查,被拼接到sql语句中,交给sql应用执行。从而导致恶意构造的payload破坏原有的sql语句结构,执行超预期的功能,造成危害。

  • 几乎所有的sql应用都存在sql注入漏洞,但一般讨论和测试时以mysql为主
  • 预编译可以有效防止sql注入漏洞,在几乎所有服务端语言的连接sql的框架中被提供选择
  • 防火墙和对参数的检查,可以一定程度防止sql注入

2、一些问题

  • 前端、请求、后端编程语言等对sql注入存在一些影响,但是主要关注sql语句
  • sql注入时,仍然是正常sql语句,注意引号和圆括号的处理
  • 理论上,增删改查等所有sql语句类型都有可能发生sql注入

3、技术

超范围执行

查询判断

赋值

联合查询

布尔盲注

时间盲注

堆栈注入

报错注入

标签:语句,web,漏洞,sql,盲注,注入
From: https://www.cnblogs.com/wd404/p/17777932.html

相关文章

  • web基础漏洞-sql注入绕过
    前提:确实存在sql注入,换句话说未使用预编译,绕过才有可能。这里阐述针对的是mysql语法。1、大小写混杂2、双写绕过如果服务端检查到敏感词,对其删除后继续执行。那么可以提交数据时进行双写绕过,比如selselectect,提交后变为select拓展来说,如果服务端最多检查n次,并且每次删除检查......
  • 越权漏洞
    权限绕过漏洞权限绕过(也叫越权)漏洞是指攻击者通过利用系统或应用程序中的漏洞,绕过了正常的权限控制机制,获得了比他们应该具有的更高权限。可以通过越权漏洞访问他人信息或者操纵他人账号其中权限绕过又有水平越权和垂直越权两种形成原因形成的原因:主要是因为开发人员对数据......
  • web基础漏洞-xss手工测试与自动测试
    手工测试,一般是指结合浏览器和burp的重放进行。1、反射型xss手工测试1.1测试是否返回如果测试参数在响应的体部中并未返回,那么基本可以判断不存在反射型xss。问题1:测试参数在响应中固有如果测试参数除了包含返回之外,还存在固有。这样的话,直接根据测试参数是否在响应体部中......
  • postgresql【JSONB用法】
    //userNametypecode是我拿到数据结构出来的可以写固定值来测试;code字段为上面设置的唯一约束。如果code值没有变就是修改,否则就是新增INSERTINTO表名(username,type,code)VALUES('${userName}','${type}','${code}')ONCONFLICT9.6语法支持(code)DOUPDATE......
  • web基础漏洞-xss
    1、介绍xss,crosssitescript跨站脚本攻击,是指攻击者构造payload,使其在用户的浏览器上解析为脚本执行,从而造成危害。脚本一般是指js,但广义上vbscript和actionscript(flash)等其它脚本可以造成xss。xss一般发生在浏览器,但广义上任何支持脚本解析的应用都有可能造成xss。危害是......
  • jpa 连接sqlserver 发布tomcat报错 SunJSSE
    报错信息:java.ext.dirs:/usr/lib/jvm/java-1.8.0-openjdk-1.8.0.332.b09-1.el7_9.x86_64/jre/lib/ext:/usr/java/packages/lib/ext20-Oct-202316:37:28.074信息[com.mchange.v2.async.ThreadPoolAsynchronousRunner$PoolThread-#0]com.microsoft.sqlserver.jdbc.TDSChanne......
  • mysql数据库帮助类
    usingMySql.Data.MySqlClient;usingSystem;usingSystem.Collections.Generic;usingSystem.Data;usingSystem.Linq;usingSystem.Text;usingSystem.Threading.Tasks;namespaceOA{classMySQLHelper{///<summary>///数据库位置......
  • HTML5+CSS3+移动web 前端开发入门笔记(一)
    千古前端图文教程千古前端图文教程git的使用Git是一个分布式版本控制系统,它的作用主要包括以下几个方面:版本管理:Git可以跟踪文件的修改历史,记录每次提交的内容、时间和作者等信息。通过Git,开发人员可以轻松地查看和比较不同版本之间的差异,回滚到历史版本或者创建新的分支。多人协作......
  • mysql常用报表处理及数据迁移写法SQL
    熟悉一些常用的sql写法便于工作中快速导出数据,本文不涉及到业务,所以对表库做了名字的修改,仅提供一些用法的说明。以下直接举例子并讲解1单表批量数据迁移场景:日志迁移具体实例:将test_log2日志表2的数据全部迁移到test_log1日志表1sql:......
  • MySQL 命令行 导出数据 加状态判断 导出excel格式
      SELECTuser.userid,department.`name`,user.username,user.name,user.`email`,keyusage.`productname`,keyusage.`status`,(casewhenkeyusage.status=1then'申请激活'whenkeyusage.status=2then'激活成功'else'激活失败'end)asflag,IN......