本文详细讲述了 sql注入的原理及防范技巧,目的是让初学者利用SQL注入技术来解决他们面临的问题, 成功的使用它们,并在这种攻击中保护自己。希望能对大家有所帮助。
一、 介绍
当一台机器只打开了80端口, 你最依赖的漏洞扫描器也不能返回任何有用的内容, 并且你知道管理员经常为机器打补丁, 我们就不得不使用web攻击方式了. SQL注入是web攻击的一种类型 ,这种方式只需要开放80端口就够了并且即使管理员打了全部的补丁也能工作. 它攻击的目标是web程序(像ASP,JSP,PHP,CGI等)本身而不是web服务器或系统上运行的服务.
本文不介绍任何新的东西, SQL注入已经被广泛的讨论和使用. 我们写这篇文章目的是因为我们想要使用SQL注入进行一些演练测试,希望这个能对各位有用. 你可以在这里找到一两个窍门但是请你关注下9.0 哪里有更多的信息? 可以得到关于SQL注入更多,更深入的技术.
1.什么是SQL注入:
通过网页的输入项来注入SQL查询或命令是一种技巧。许多网页会从用户那里获取参数,并构建SQL查询来访问数据库。以用户登录为例,页面收集用户名和密码然后构建SQL去查询数据库,来校验用户名和密码的有效性。通过SQL注入,我们可以发送经过精心编造的用户名和/或密码字段,来改变SQL查询语句并赋予 我们其它一些权限。
2.你需要什么:
任意web浏览器。
二、 你应该寻找什么
尝试寻找那些允许你提交数据的页面,即: 登录页面,查询页面,反馈信息等等。有时,HTML页面会用POST命令来把参数发送到另外一个ASP页面上去。那么,你可能在URL中看不到参数。不过,你可以查看页面的HTML源代码,查找FORM标签。你会在一些HTML源代码中看到类似下面的东东: