1.什麼是sql注入攻擊
所謂sql注入(sql injection),就是通過把sql命令插入到web表單遞交或輸入網域名稱或頁面請求的查詢字串,最終達到欺騙伺服器執行黑客構造的惡意的sql命令 的目的。這主要是因為應用程式對使用者輸入資料的合法性沒有進行驗證,使應用程式存在安全隱患。sql注入是從正常的www埠訪問,因此非常隱蔽。
2.注入攻擊的總體思路
(1)發現sql注入位置;
(2)判斷後台資料庫型別;
(3)確定xp_cmdshell可執**況
(4)發現web虛擬目錄
(5)上傳木馬;
(6)得到管理員許可權;
(7)入侵主機
3.準備工作
(1)取消友好http錯誤資訊提示
瀏覽器的預設設定是不顯示詳細出錯資訊的,不論伺服器出現什麼錯誤,都只顯示「http 500伺服器錯誤」等字樣,因此為了得到更多資訊,我們改變這個設定。
ie瀏覽器---工具---internet選項---高階---瀏覽---取消「顯示友好http錯誤資訊」前的勾
(2)工具準備
漏洞掃瞄與拆解工具:asp:wis+wed nbsi2 hdsi pangolin_bin php:二娃、casi
web木馬後門:phpspy 黑客之家php木馬
注入輔助工具:asc碼逆轉換工具、c2c注入格式轉換器、sql注入字元轉換工具,轉換編碼突破過濾防護限制。
4.實際操作
(1)檢測注入點
a、...id=1220 **後面直接加單引號',頁面是否正常返回
b、經典的**後面加「1=1」 和「1=2」法,分別測試
http://****/shownews.php?id=1022 and 1=1 和 http://****/shownews.php?id=1022 and 1=1
網路安全基礎知識
什麼是網路安全?網路安全基礎知識有那些?網路安全問題隨著計算機技術的迅速發展日益突出,從網路執行和管理者角度說,他們希望對本地網路資訊的訪問 讀寫等操作受到保護和控制,避免出現 陷門 病毒 非法訪問 拒絕服務和網路資源非法占用和非法控制等威脅,制止和防禦網路黑客的攻擊。對安全保密部門來說,他們希望對...
網路安全基礎知識
計算機網路的應用之一就是資源共享,資源共享的同時也為在網路中儲存傳輸的大量資料帶來了安全問題。國際化標準組織 iso 對計算機系統的安全定義為 為資料處理系統建立和採用的技術和管理的安全保護,保護計算機硬體 軟體和資料不因偶然和惡意的原因遭到破壞和洩露。由此可將計算機安全理解為 通過採用各種技術和管...
網路安全基礎知識
網路安全問題隨著計算機技術的迅速發展日益突出,從網路執行和管理者角度說,他們希望對本地網路資訊的訪問 讀寫等操作受到保護和控制,避免出現 陷門 病毒 非法訪問 拒絕服務和網路資源非法占用和非法控制等威脅,制止和防禦網路黑客的攻擊。對安全保密部門來說,他們希望對非法的 有害的或涉及 的資訊進行過濾和防...