-
sql注入攻击与防御pdf
-
大小:37.73M
更新时间:23-08-26
系统:Pc
版本:v
大小:37.73M
更新时间:23-08-26
系统:Pc
版本:v
sql注入攻击与防御pdf是一本中文高清扫描版的电子图书,由清华大学出版社出版,作者克拉克(JustinClarke),详细讲解可能引发SQL注入的行为以及攻击者的利用要素,并结合长期实践经验提出了相应的解决方案。重点讲解了SQL注入的排查方法和可以借助的工具,总结了常见的利用SQL漏洞的方法。全书共10章,分别介绍了sql注入的基本概念,如何发现、确认并利用sql注入和sql盲注,利用操作系统防御sql注入,sql注入的一些高级话题,代码层和平台层防御等知识,书中主要针对的是microsoft sql server、mysql和oracle这三大主流数据库。
第1章 什么是SQL注入
第2章 SQL注入测试
第3章 复查代码中的SQL注入
第4章 利用SQL注入
第5章 SQL盲注利用
第6章 利用操作系统
第7章 高级话题
第8章 代码层防御
第9章 平台层防御
第10章 参考资料
所有的输入都可能是有害的,有参数的地方都可能存在SQL注入。
但是由于浏览器的限制,网站协议中的一些隐藏链接、API调用和参数往往被忽略。
在渗透测试中,无论注入工具多么强大,都会有局限性,手动注入可以解决这个弱点。
当然,手动注入需要渗透者对数据库的语法有一定的了解。
但是由于SQL注入的灵活性和多样性,如果详细讨论的话,恐怕可以写成单本书了。在这里,作者将选择最具代表性的例子进行论证。
1、对代码进行过滤非法符号如之类的,对一些脚本标签scrpt以及img或frame都进行过滤和替换。
2、对一些函数变量直接进行强制定义,比如金额函数这里直接限定只能写入正整数类型的数值,那么其他的参数像姓名的话可以直接限定到只允许写入中文和英文的数值,其他的以此类推。
3、对一些带入数据库查询和更新的语句,一定要看看get或post过来的数据参数是否是直接把参数类型锁定好了的,防止被注入恶意语句导致被攻击。
4、如果对着代码方面的问题不懂得话可以到网站安全公司去寻求帮助,国内如SINESAFE,鹰盾安全,绿盟,启明星辰等等。
1、使用国外的搜索引擎,往往会有意想不到的收获,最常见的是Google。
2、用Whois查出管理员邮箱,然后发邮件通知管理员更改密码。邮件内容无非是“我们是XXX检测中心,你的网站有风险。请立即更改管理员密码……”。
3、分析Cookie。有时加密的密文会出现在cookies中。这种情况下,cookies中的密文可以直接被管理员的密文替换。
4、在特定的注入环境中,原始密文有时可以被新密文替换。当然这种方法的执行条件比较苛刻,实践中很少遇到。
5、使用密码检索功能。使用秘密安全问题来检索密码是很常见的。在这种情况下,可以注入秘密安全问题的答案,然后使用密码检索功能成功登陆目标帐户。
6、逻辑缺陷。比如一些登录功能、修改功能、密码检索功能等都是以密文的形式直接在数据包中传输的。这时可以用密文代替,这样就可以登录并更改密码了。
同类热门
类似软件
SQL Server 2008高级程序设计99.46M282人在用SQL Server 2008高级程序设计是一本pdf中文版的高清电子书,全书首先介绍了sql2008的新功能,然后在更详实的示例代码的引导下全面深入地展开论述,讨论了如何编写复杂查询,构建各种数据结构以及提高应用程序性能,还讲述了如何管理高级脚本和数据
查看
SQLite学习手册491K272人在用SQLite学习手册是一款pdf中文版的电子书籍,详细的介绍了SQLite主要特征和优点。具体包括的内容为:c/c++接口简介,数据表和视图,内置函数,索引和数据分析/清理,数据库和事物,表达式,数据类型,命令行工具,在线备份,内存数据库,临时文件,锁和
查看
sql server 2000企业版246.05M3649人在用多多软件站免费提供sql server 2000 简体中文企业版下载。SQL Server 2000是微软公司开发的关系数据库管理系统,最新版本该版本继承了SQL Server 7.0
查看
SQL Server 2005精简版57.16M3240人在用多多软件站提供SQL Server 2005精简版下载。SQL Server 2005 Express Edition这个版本其实就是SQL 2005的精减版,它是一种免费、易用的轻量版SQL Server 2005,具有快速且易于掌握的特点,可用于快速
查看
MySQL技术内幕InnoDB存储引擎12.1M344人在用MySQL技术内幕InnoDB存储引擎是一本PDF中文版的电子书籍,它完整的讲解了InnoDB的体系结构和工作原理,并给合InnoDB的源代码讲解了它的内部实现机制。全书共分为10章,具体的讲解了MySQL体系结构和存储引擎,InnoDB存储引擎,文件,
查看热门标签
网友评论1人参与,1条评论
最新排行
第一行代码android pdf高清扫描版7.68M郭霖著 第一行代码android第一版pdf下是一本android开发入门实用书籍,由从事android开发多年的工程师郭霖编著,作者将自己丰富的项目实战经验,以浅显易懂的语言和图文并茂的实例融入本书中,涵盖android系统架构、四大组件、数据存储、多媒
查看
响应式Web图形设计pdf99.8M随着智能手机和平板电脑等移动设备的普及,网页既可以横向,也可以纵向显示,设计不再以桌面浏览器窗口的宽度为标准,如何才能更好的设计Web界面呢?小编这里推荐大家阅读响应式Web图形设计,这是一本HTML5&CSS3基础知识+现代设计精髓理念的图书,由美国程
查看
opencv图像处理编程实例29.2M朱伟pdf扫描版opencv图像处理编程实例是一本OpenCV图像处理编程手册,由朱伟等人编著。本书将理论与实际案例相结合,始终秉承“学以致用”的理念,提供多个颇具实用性和前沿性的实例,用详细的代码验证实现,通过大量的例子让读者边学边练,注重给予读者一定的启发和引导。作
查看
量化投资以python为工具53.25M蔡立耑pdf扫描版量化投资以python为工具是一本量化投资优质工具书,由蔡立耑编著。全书主要介绍了Python的入门级操作及Python语言的介绍和安装,并由浅入深的为读者讲解了Python语言和Python量化的重要操作知识点,可以快速的帮助用户完成Python语言的
查看
面向arcgis的python脚本编程40.59M面向arcgis的python脚本编程是一本指导ArcGIS for Desktop专业用户进行Python开发的指南,本书将教会您如何通过编写Python代码处理空间数据并在ArcGIS中自动化实现地理处理任务。读者在学习完本书后,可以根据需要创建自定
查看
seo网络赢利的秘密pdf32.33M高清电子版互联网seo是新兴的职业,如何更好入门呢,这是小编带来了seo网络赢利的秘密pdf下载,这是号称“seo第一人”王通先生的力作,全称为seo网络赢利的秘密 我是怎样通过网络挣到100万的,清华大学出版社出版,详细的介绍了网络seo方法,帮助用户和企业对自
查看
架构探险轻量级微服务架构上册70.8M黄勇 高清扫描版架构探险:轻量级微服务架构(上册)是一本微服务架构操作实践手册,由特赞公司CTO黄勇编著。本书首先围绕着如何构建服务器逐渐展开,详细的介绍了Spring Boot、Node.js以及如何使用ZooKeeper进行服务治理,在Docker上部署微服务等等,
查看
ORACLE数据库技术实用详解:教你如何成为10g OCP80.67M韩思捷pdf扫描版ORACLE数据库技术实用详解:教你如何成为10g OCP是一本ORACLE数据库实用技术详解,由韩思捷编著。本书内容丰富,语言通俗易懂,实用性强,主要对ORACLE 10G数据库的主要技术方面进行了彻底的分析,同时将10g OCP考试中的内容进行了详细
查看
react精髓电子书40.28Mpdf高清完整版react精髓是一本真正面向实战的React图书,由[英] Artemij Fedosejev(阿尔乔姆 . 费多耶夫)编著,奇舞团翻译,电子出版社出版。全书全面剖析组件化Web应用开发完整流程,首先介绍了如何创建简单的和复杂的React元素,在此基础上
查看
第1楼 广东省教育网 网友