sql注入攻击与防御pdf

    sql注入攻击与防御pdf

    大小:37.73M

    更新时间:23-08-26

    系统:Pc

    开始下载

    sql注入攻击与防御pdf是一本中文高清扫描版的电子图书,由清华大学出版社出版,作者克拉克(JustinClarke),详细讲解可能引发SQL注入的行为以及攻击者的利用要素,并结合长期实践经验提出了相应的解决方案。重点讲解了SQL注入的排查方法和可以借助的工具,总结了常见的利用SQL漏洞的方法。全书共10章,分别介绍了sql注入的基本概念,如何发现、确认并利用sql注入和sql盲注,利用操作系统防御sql注入,sql注入的一些高级话题,代码层和平台层防御等知识,书中主要针对的是microsoft sql server、mysql和oracle这三大主流数据库。

    sql注入攻击与防御pdf目录

    第1章 什么是SQL注入

    第2章 SQL注入测试

    第3章 复查代码中的SQL注入

    第4章 利用SQL注入

    第5章 SQL盲注利用

    第6章 利用操作系统

    第7章 高级话题

    第8章 代码层防御

    第9章 平台层防御

    第10章 参考资料

    文件特色

    所有的输入都可能是有害的,有参数的地方都可能存在SQL注入。

    但是由于浏览器的限制,网站协议中的一些隐藏链接、API调用和参数往往被忽略。

    在渗透测试中,无论注入工具多么强大,都会有局限性,手动注入可以解决这个弱点。

    当然,手动注入需要渗透者对数据库的语法有一定的了解。

    但是由于SQL注入的灵活性和多样性,如果详细讨论的话,恐怕可以写成单本书了。在这里,作者将选择最具代表性的例子进行论证。

    如何防护SQL注入攻击

    1、对代码进行过滤非法符号如之类的,对一些脚本标签scrpt以及img或frame都进行过滤和替换。

    2、对一些函数变量直接进行强制定义,比如金额函数这里直接限定只能写入正整数类型的数值,那么其他的参数像姓名的话可以直接限定到只允许写入中文和英文的数值,其他的以此类推。

    3、对一些带入数据库查询和更新的语句,一定要看看get或post过来的数据参数是否是直接把参数类型锁定好了的,防止被注入恶意语句导致被攻击。

    4、如果对着代码方面的问题不懂得话可以到网站安全公司去寻求帮助,国内如SINESAFE,鹰盾安全,绿盟,启明星辰等等。

    注入得到的加密密文无法求解怎么办

    1、使用国外的搜索引擎,往往会有意想不到的收获,最常见的是Google。

    2、用Whois查出管理员邮箱,然后发邮件通知管理员更改密码。邮件内容无非是“我们是XXX检测中心,你的网站有风险。请立即更改管理员密码……”。

    3、分析Cookie。有时加密的密文会出现在cookies中。这种情况下,cookies中的密文可以直接被管理员的密文替换。

    4、在特定的注入环境中,原始密文有时可以被新密文替换。当然这种方法的执行条件比较苛刻,实践中很少遇到。

    5、使用密码检索功能。使用秘密安全问题来检索密码是很常见的。在这种情况下,可以注入秘密安全问题的答案,然后使用密码检索功能成功登陆目标帐户。

    6、逻辑缺陷。比如一些登录功能、修改功能、密码检索功能等都是以密文的形式直接在数据包中传输的。这时可以用密文代替,这样就可以登录并更改密码了。

    语言多国语言

    精品推荐

    同类热门

    南方Plus电脑版南方Plus电脑版 有柿电脑版有柿电脑版 网易新闻电脑版网易新闻电脑版 cnki全球学术快报电脑版cnki全球学术快报电脑版 网易云阅读电脑版网易云阅读电脑版 数据挖掘导论数据挖掘导论 吉利博瑞用户手册吉利博瑞用户手册 PHP语言精粹电子书PHP语言精粹电子书

    类似软件

    热门标签

    pdf转word软件大全 达尔优驱动大全 电脑广告拦截软件 win10激活工具大全 档案管理系统软件大全 硬盘检测工具大全 谷歌浏览器插件大全 web服务器软件 少儿编程软件大全 电脑虚拟光驱软件大全 cad格式转换软件大全 酷家乐软件大全

    网友评论1人参与,1条评论

    最新排行

    手游排行软件排行热门应用