简介
SQL注入(SQL Injection)是一种常见的网络攻击方式,通过向SQL查询中插入恶意的SQL代码,攻击者可以操控数据库,SQL注入是一种代码注入攻击,其中攻击者将恶意的SQL代码插入到应用程序的输入字段中,然后这些输入被传递到数据库服务器上执行。攻击者可以利用这一漏洞执行任意的SQL查询或命令,从而访问或操控数据库中的敏感信息。
SQL注入的一个简要流程:
1、打开目标靶场
2、选择less - 18
3、登录网站
用户 admin 以及密码admin
4、使用抓包工具BP,获取信息
5、判断闭合方式
这里为 ' and'
6、使用报错注入截取信息
'and updatexml(1,concat(1,(select database())),1) and'
由此可获得数据库名称
7、按照此法可截取想要获取的信息
安全
网络安全为人民,网络安全靠人民
标签:admin,数据库,SQL,攻击者,injection,UA,代码,注入 From: https://blog.csdn.net/baishiqi12/article/details/141297269