-
sql注入攻击与防御pdf
-
大小:37.73M
更新时间:23-08-26
系统:Pc
大小:37.73M
更新时间:23-08-26
系统:Pc
sql注入攻击与防御pdf是一本中文高清扫描版的电子图书,由清华大学出版社出版,作者克拉克(JustinClarke),详细讲解可能引发SQL注入的行为以及攻击者的利用要素,并结合长期实践经验提出了相应的解决方案。重点讲解了SQL注入的排查方法和可以借助的工具,总结了常见的利用SQL漏洞的方法。全书共10章,分别介绍了sql注入的基本概念,如何发现、确认并利用sql注入和sql盲注,利用操作系统防御sql注入,sql注入的一些高级话题,代码层和平台层防御等知识,书中主要针对的是microsoft sql server、mysql和oracle这三大主流数据库。
第1章 什么是SQL注入
第2章 SQL注入测试
第3章 复查代码中的SQL注入
第4章 利用SQL注入
第5章 SQL盲注利用
第6章 利用操作系统
第7章 高级话题
第8章 代码层防御
第9章 平台层防御
第10章 参考资料
所有的输入都可能是有害的,有参数的地方都可能存在SQL注入。
但是由于浏览器的限制,网站协议中的一些隐藏链接、API调用和参数往往被忽略。
在渗透测试中,无论注入工具多么强大,都会有局限性,手动注入可以解决这个弱点。
当然,手动注入需要渗透者对数据库的语法有一定的了解。
但是由于SQL注入的灵活性和多样性,如果详细讨论的话,恐怕可以写成单本书了。在这里,作者将选择最具代表性的例子进行论证。
1、对代码进行过滤非法符号如之类的,对一些脚本标签scrpt以及img或frame都进行过滤和替换。
2、对一些函数变量直接进行强制定义,比如金额函数这里直接限定只能写入正整数类型的数值,那么其他的参数像姓名的话可以直接限定到只允许写入中文和英文的数值,其他的以此类推。
3、对一些带入数据库查询和更新的语句,一定要看看get或post过来的数据参数是否是直接把参数类型锁定好了的,防止被注入恶意语句导致被攻击。
4、如果对着代码方面的问题不懂得话可以到网站安全公司去寻求帮助,国内如SINESAFE,鹰盾安全,绿盟,启明星辰等等。
1、使用国外的搜索引擎,往往会有意想不到的收获,最常见的是Google。
2、用Whois查出管理员邮箱,然后发邮件通知管理员更改密码。邮件内容无非是“我们是XXX检测中心,你的网站有风险。请立即更改管理员密码……”。
3、分析Cookie。有时加密的密文会出现在cookies中。这种情况下,cookies中的密文可以直接被管理员的密文替换。
4、在特定的注入环境中,原始密文有时可以被新密文替换。当然这种方法的执行条件比较苛刻,实践中很少遇到。
5、使用密码检索功能。使用秘密安全问题来检索密码是很常见的。在这种情况下,可以注入秘密安全问题的答案,然后使用密码检索功能成功登陆目标帐户。
6、逻辑缺陷。比如一些登录功能、修改功能、密码检索功能等都是以密文的形式直接在数据包中传输的。这时可以用密文代替,这样就可以登录并更改密码了。
应用信息
同类热门
类似软件
SQL Server 2008高级程序设计99.46M368人在用SQL Server 2008高级程序设计是一本pdf中文版的高清电子书,全书首先介绍了sql2008的新功能,然后在更详实的示例代码的引导下全面深入地展开论述,讨论了如何编写复杂查询,构建各种数据结构以及提高应用程序性能,还讲述了如何管理高级脚本和数据
查看
MySQL新技术在淘宝的使用2.23M221人在用 MySQL新技术在淘宝的使用是一本PDF格式的电子书籍,它详细的介绍了mysql数据库的用途,总体架构,mysql服务器硬件架构,以及MySQL在淘宝中如何应用等方面的知识,对于网站设计人员具有很强的参考价格,希望对网友们有帮助。
查看
MySQL技术内幕InnoDB存储引擎12.1M395人在用MySQL技术内幕InnoDB存储引擎是一本PDF中文版的电子书籍,它完整的讲解了InnoDB的体系结构和工作原理,并给合InnoDB的源代码讲解了它的内部实现机制。全书共分为10章,具体的讲解了MySQL体系结构和存储引擎,InnoDB存储引擎,文件,
查看
sqltools2.0汉化版675K588人在用 本款sqltools2.0汉化版是目前小编用过的最好的1433连接工具,也是一款简单小巧的数据库管理工具,内建文字编辑器、SQL控制台、SQL工具,通过该软件,用户可以快速的连接数据库,然后远程对数据库进行修改,给数据库添加命令等等。新版本的sql
查看
SQLite学习手册491K414人在用 SQLite学习手册是一款pdf中文版的电子书籍,详细的介绍了SQLite主要特征和优点。具体包括的内容为:c/c++接口简介,数据表和视图,内置函数,索引和数据分析/清理,数据库和事物,表达式,数据类型,命令行工具,在线备份,内存数据库,临时文件
查看热门标签
网友评论1人参与,1条评论
最新排行
reader小说阅读器858Kv2.0.0.4电脑版 Duang~天空一声巨响,我就是那传说中的reader小说阅读器,我乃吾爱破解沈大场开发的简单易于使用的小说阅读器,支持缩小界面,可以让你上班摸鱼看小说,有多种按键,有助于用户更好的浏览阅读,用户只需轻点界面即可跳动,无需翻页,分分钟快速查看,非常
查看
oracle sql高级编程64.34M莫顿pdf扫描版 oracle sql高级编程是一本Oracle SQL高级编程手册,由资深Oracle专家莫顿、Kerry Osborne、Robyn Sands和Jared Still编著。本书内容丰富翔实,通过作者多年的软件开发和教学培训经验,与大家分享了掌握
查看
ASP动态网页设计与Ajax技术43.4M唐四薪pdf扫描版ASP是经典的动态网页制作技术,具有简单易学、运行环境易于配置等优点,但如何更好的入门和学习呢?ASP动态网页设计与Ajax技术可以帮助广大网友快速上手,这是一本ASP动态网页和Ajax技术的学习教材,由唐四薪,谭晓兰,唐琼三人编著。本书内容丰富,教学目
查看
Oracle PL/SQL专家指南:高级PL/SQL解决方案的设计与开发37.16M哈德门pdf扫描版 Oracle PL/SQL专家指南:高级PL/SQL解决方案的设计与开发是一本Oracle数据库操作指南,由美国程序员哈德门和麦克罗林共同编著。全书内容丰富翔实,主要讲解了统计表收集、PL/SQL优化器、SQL Trace、DBMS STATS及T
查看
ios6开发进阶与实战94.98Mpdf扫描版ios6开发进阶与实战是一本IOS6的开发指导书籍,由美国开发人员戴夫.马克、杰夫.拉马赫、凯文.金合作共同编著。本书不同于之前的基础类书籍,着重于提高与进阶,从Core Data、iCloud、Game Kit、Map Kit、消息、媒体以及安全性等诸
查看
精通JavaScript+jQuery:100%动态网页设计密码53.59Mpdf扫描版精通JavaScript+jQuery:100%动态网页设计密码是一本介绍JavaScript语言+jQuery框架实战开发指南,由龙马工作室编著。全书系统地讲解了使用JavaScript和jQuery进行动态网页设计的知识和技巧,对知识点进行精心安排,
查看
hbase企业应用开发实战107.27Mpdf扫描版 hbase企业应用开发实战是一本HBase大数据相关的学习书籍,由国内资深Hadoop技术专家马延辉、猛鑫、李立松等人联合编著,本书以企业实际生产环境和需要为重点,系统的介绍了HBase的功能使用、框架设计、基本原理和高级特性。详细讲解使用HBas
查看
精通ios开发第7版中文版12.02M 精通ios开发第7版中文版是一本ios开发技术指南,由美国程序员马克和Jeff LaMarche、瑞典程序员Jack Nutting、英国程序员Kim Topley和法国程序员Fredrik Olsson五人共同编著,他们五人均是移动开发专家,具有
查看
21天学通c语言第6版10.04M琼斯 pdf扫描版 21天学通C语言是一本初学者的超佳轻量级教程书籍,由美国程序员琼斯Bradley Jones,艾特肯Peter Aitken和Dean Miller三人共同编著,本书译自《Teach Yourself C in 21 Days》第6版,是初学者学习
查看
爱普生l455说明书5.22Mpdf版 爱普生l455说明书中包含了首先阅读和用户指南,全面的将爱普生L455无线一体机的使用说明讲解了一边,让每一位用户都能够通过该打印机让工作中的效率提高。 爱普生墨仓式L455智能无线一体机不仅延续之前产品的优势,而且功能更丰富,应用更全
查看
第1楼 广东省教育网 网友