-
sql注入攻击与防御pdf
-
大小:37.73M
更新时间:23-08-26
系统:Pc
大小:37.73M
更新时间:23-08-26
系统:Pc
sql注入攻击与防御pdf是一本中文高清扫描版的电子图书,由清华大学出版社出版,作者克拉克(JustinClarke),详细讲解可能引发SQL注入的行为以及攻击者的利用要素,并结合长期实践经验提出了相应的解决方案。重点讲解了SQL注入的排查方法和可以借助的工具,总结了常见的利用SQL漏洞的方法。全书共10章,分别介绍了sql注入的基本概念,如何发现、确认并利用sql注入和sql盲注,利用操作系统防御sql注入,sql注入的一些高级话题,代码层和平台层防御等知识,书中主要针对的是microsoft sql server、mysql和oracle这三大主流数据库。
第1章 什么是SQL注入
第2章 SQL注入测试
第3章 复查代码中的SQL注入
第4章 利用SQL注入
第5章 SQL盲注利用
第6章 利用操作系统
第7章 高级话题
第8章 代码层防御
第9章 平台层防御
第10章 参考资料
所有的输入都可能是有害的,有参数的地方都可能存在SQL注入。
但是由于浏览器的限制,网站协议中的一些隐藏链接、API调用和参数往往被忽略。
在渗透测试中,无论注入工具多么强大,都会有局限性,手动注入可以解决这个弱点。
当然,手动注入需要渗透者对数据库的语法有一定的了解。
但是由于SQL注入的灵活性和多样性,如果详细讨论的话,恐怕可以写成单本书了。在这里,作者将选择最具代表性的例子进行论证。
1、对代码进行过滤非法符号如之类的,对一些脚本标签scrpt以及img或frame都进行过滤和替换。
2、对一些函数变量直接进行强制定义,比如金额函数这里直接限定只能写入正整数类型的数值,那么其他的参数像姓名的话可以直接限定到只允许写入中文和英文的数值,其他的以此类推。
3、对一些带入数据库查询和更新的语句,一定要看看get或post过来的数据参数是否是直接把参数类型锁定好了的,防止被注入恶意语句导致被攻击。
4、如果对着代码方面的问题不懂得话可以到网站安全公司去寻求帮助,国内如SINESAFE,鹰盾安全,绿盟,启明星辰等等。
1、使用国外的搜索引擎,往往会有意想不到的收获,最常见的是Google。
2、用Whois查出管理员邮箱,然后发邮件通知管理员更改密码。邮件内容无非是“我们是XXX检测中心,你的网站有风险。请立即更改管理员密码……”。
3、分析Cookie。有时加密的密文会出现在cookies中。这种情况下,cookies中的密文可以直接被管理员的密文替换。
4、在特定的注入环境中,原始密文有时可以被新密文替换。当然这种方法的执行条件比较苛刻,实践中很少遇到。
5、使用密码检索功能。使用秘密安全问题来检索密码是很常见的。在这种情况下,可以注入秘密安全问题的答案,然后使用密码检索功能成功登陆目标帐户。
6、逻辑缺陷。比如一些登录功能、修改功能、密码检索功能等都是以密文的形式直接在数据包中传输的。这时可以用密文代替,这样就可以登录并更改密码了。
同类热门
类似软件
MySQL技术内幕InnoDB存储引擎12.1M360人在用MySQL技术内幕InnoDB存储引擎是一本PDF中文版的电子书籍,它完整的讲解了InnoDB的体系结构和工作原理,并给合InnoDB的源代码讲解了它的内部实现机制。全书共分为10章,具体的讲解了MySQL体系结构和存储引擎,InnoDB存储引擎,文件,
查看
SQL Server 2008高级程序设计99.46M308人在用SQL Server 2008高级程序设计是一本pdf中文版的高清电子书,全书首先介绍了sql2008的新功能,然后在更详实的示例代码的引导下全面深入地展开论述,讨论了如何编写复杂查询,构建各种数据结构以及提高应用程序性能,还讲述了如何管理高级脚本和数据
查看
Microsoft SQL Server 2005精简版57.16M3702人在用 SQL 2005精简版是一款免费、易用的轻量版数据库软件,具有快速且易于掌握的特点,可用于快速开发和部署动态数据驱动的应用程序。它是由Microsoft公司推出的一款功能强大的关系型数据库管理系统。平台使用集成的商业智能 (BI)工具提供了企业级的
查看
SQLite学习手册491K302人在用SQLite学习手册是一款pdf中文版的电子书籍,详细的介绍了SQLite主要特征和优点。具体包括的内容为:c/c++接口简介,数据表和视图,内置函数,索引和数据分析/清理,数据库和事物,表达式,数据类型,命令行工具,在线备份,内存数据库,临时文件,锁和
查看热门标签
网友评论1人参与,1条评论
最新排行
佳能c300使用说明书15.29M 佳能C300使用说明书是专门为佳能C300相机设计的一份详尽的指南,这份说明书详细地介绍了佳能C300的各种设置按钮和操作步骤,包括但不限于如何调整光圈、快门速度、ISO感光度等基本设置,以及如何进行白平衡、曝光补偿等高级设置,并且还提供了一系列的
查看
oracle开发实战经典110.75M李兴华pdf扫描版 oracle开发实战经典是一本Oracle数据库实战手册,由李兴华编著。本书以Oracle 12c版本为基础(也适合Oracle 11g版本),对12c的新功能做了详细讲述。并且实例非常丰富,各类实例达1200个,达到实战水平只需一本书够了。同时本
查看
人人都是架构师:分布式系统架构落地与瓶颈突破39.95M高翔龙 pdf扫描版 人人都是架构师:分布式系统架构落地与瓶颈突破是一本货真价实的互联网场景下大型网站架构演变过程中核心技术难题的解决方案,由高翔龙编著。本书全部来源于作者真实经历的生产案例,大型网站应对高并发、大流量的应急宝典,全书毫无保留地阐述了作者多年在互联网企业
查看
Android C++高级编程:使用NDK69.44M辛纳pdf扫描版 Android是一个完整的、开放的、免费的移动平台,该平台给移动应用开发者提供了无限的机会。但是如何才能更好的常握好呢?小编推荐大家阅读《android c++高级编程:使用NDK》,这是国内首本基于C++开发android应用书籍,由美国程序员辛
查看
海量网络存储系统原理与设计42.83M曹强 pdf扫描版 海量网络存储系统原理与设计是一本网络存储系统原理分析设计书籍,由曹强,黄建忠,万继光和谢长生等人共同编著。本书从设计者的角度讨论高性能、高可用性和高安全性的海量网络存储系统及其部件的设计原则、评价方法、研究手段和实现方法,同时针对一些典型系统和技术
查看
linux程序设计第四版221.43M马修pdf扫描版linux程序设计第四版是Linux程序设计领域的经典名著,以简单易懂、内容全面和示例丰富而广受好评,由英国程序员Neil Matthew和Richard Stones共同编著。本书内容丰富翔实,主要通过一些交互性(基于屏幕)的例子来向读者介绍编写she
查看
写给大家看的设计书第4版18.76Mpdf扫描版写给大家看的设计书 第四版是一本设计类书籍的经典著作,由世界级设计师Robin Williams编著。第4版全面修订,更新了大量实例,并增加了一章内容,介绍排版设计。本书全书主要围绕着对比、重复、对齐和亲密性四条基本原则而写作,简洁通俗、幽默生动,再配以
查看
设计模式之禅第2版pdf10.64M扫描版设计模式之禅第2版是设计模式领域公认的3本经典著作之一,由资深软件开发工程师秦小波编著。本书深刻解读了6大软件设计原则和28种设计模式的准确定义、应用方法和实践,全方位比较各种同类模式之间的异同,详细讲解了组合使用不同模式的方法。此外,本书在第1版的基础
查看
深入浅出oracle dba入门进阶与诊断案例4.78M盖国强pdf扫描版 深入浅出oracle dba入门进阶与诊断案例是一本Oracle数据库的入门进阶书籍,由盖国强编著。本书从基础出发,逐层深入,并结合实际工作中的诊断案例进行全面讲解,力图从点到面,让读者对每个主题都有深入的了解和认识。全书是ITPUB技术丛书的第三
查看
第1楼 广东省教育网 网友