SQL注入测试-业务安全测试实操(10)

这篇具有很好参考价值的文章主要介绍了SQL注入测试-业务安全测试实操(10)。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

SQL注入测试

测试原理和方法


SQL注入就是通过把SQL命令插入Web表单提交或输入域名页面请求的查询字符串最终达到欺骗服务器执行恶意的SOL命令的目的。具体来说,它是利用现有应用程序,将(恶意)SOL命令注入后台数据库引擎执行的能力,它可以通过在Web表单中输入 (恶意)SOL 语句获取一个存在安全漏洞的网站上的数据库权限,而不是按照设计者的意图去执行SOL语句。下面通过一个经典的万能密码登录案例深入浅出地介绍SOL注入漏洞。SOL注入按照请求类型分为: GET型、POST型、Cookie注入型。GET与POST两种类型的区别是由表单的提交方式决定的。按照数据类型可分为:数字型和字符型(数字也是字符,严格地说就是一类,区别在于数字型不用闭合前面的SQL语句,而字符型需要闭合)。测试方法分为报错型、延时型、盲注型、布尔型等。数字型注入 (一般存在于输入的参数为整数的情况下,如 ID、年龄等) 测试方法如
第一步:正常请求,查看页面。
第二步:在请求的参数后加and 1=1,如果可以添加执行,则和第一步的返回页面并无差异。
第三步:在请求参数后加and 1=2,如果返回页面与第二步页面明显不同,或有所差异,则断定存在数字型注入。
字符型注入(一般存在于接收的参数为字符串的情况下,如姓名、密码等) 测试方法如下
第一步: 正常请求查看页面(如查询admin用户信息,则返回admin用户的信息)。

第二步:在查询的参数后加’or 1=1(有时可以加--来注释后面的语句),加单引号的目的是闭合前面的SOL语句并与后面的语句形成语法正确的SOL语句。如果可以添加并能够执行,则返回除 admin 用户外所有用户的信息。这时可以判断存在字符型注入。

  测试过程

攻击者确定疑似的数字型注入链接,按照数字型手文章来源地址https://www.toymoban.com/news/detail-487041.html

到了这里,关于SQL注入测试-业务安全测试实操(10)的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • Web安全:SQL注入漏洞测试.

    SQL注入就是 有些 恶意用户在提交查询请求的过程中 将SQL语句插入到请求内容 中,同时程序的本身对用户输入的内容过于相信, 没有对用户插入的SQL语句进行任何的过滤 ,从而 直接被SQL语句直接被服务端执行 ,导致数据库的原有信息泄露,篡改,甚至被删除等风险。 SQL注

    2024年02月05日
    浏览(54)
  • 【网络安全】「漏洞原理」(二)SQL 注入漏洞之理论讲解

    严正声明:本博文所讨论的技术仅用于研究学习,旨在增强读者的信息安全意识,提高信息安全防护技能,严禁用于非法活动。任何个人、团体、组织不得用于非法目的,违法犯罪必将受到法律的严厉制裁。 【点击此处即可获取282G网络安全零基础入门学习资源】 信息搜集在

    2024年02月06日
    浏览(47)
  • 【网络安全】「漏洞原理」(一)SQL 注入漏洞之概念介绍

    严正声明:本博文所讨论的技术仅用于研究学习,旨在增强读者的信息安全意识,提高信息安全防护技能,严禁用于非法活动。任何个人、团体、组织不得用于非法目的,违法犯罪必将受到法律的严厉制裁。 SQL 注入(SQL Injection) 是一种常见的网络攻击技术,它利用应用程序

    2024年02月06日
    浏览(47)
  • 【网络安全---sql注入(2)】如何通过SQL注入getshell?如何通过SQL注入读取文件或者数据库数据?一篇文章告诉你过程和原理。

    分享一个非常详细的网络安全笔记,是我学习网安过程中用心写的,可以点开以下链接获取: 超详细的网络安全笔记 本篇博客主要是通过piakchu靶场来讲解如何通过SQL注入漏洞来写入文件,读取文件。通过SQL输入来注入木马来getshell等,讲解了比较详细的过程; 如果想要学习

    2024年02月07日
    浏览(51)
  • Web安全:SQL注入漏洞测试(防止 黑客利用此漏洞.)

    SQL注入就是 有些 恶意用户在提交查询请求的过程中 将SQL语句插入到请求内容 中,同时程序的本身对用户输入的内容过于相信, 没有对用户插入的SQL语句进行任何的过滤 ,从而 直接被SQL语句直接被服务端执行 ,导致数据库的原有信息泄露,篡改,甚至被删除等风险。 SQL注

    2024年02月13日
    浏览(39)
  • Web安全 SQL注入漏洞测试.(可以 防止恶意用户利用漏洞)

    SQL注入就是 有些 恶意用户在提交查询请求的过程中 将SQL语句插入到请求内容 中,同时程序的本身对用户输入的内容过于相信, 没有对用户插入的SQL语句进行任何的过滤 ,从而 直接被SQL语句直接被服务端执行 ,导致数据库的原有信息泄露,篡改,甚至被删除等风险。 SQL注

    2023年04月20日
    浏览(47)
  • SQL注入实操三(SQLilabs Less41-65)

    到目前为止,我总结了一下出现过的轮子,可以得出一个结论,首先需要知道有几个参数,前面6种都是单参数的,多参数的只能通过报错信息得知,用–+还是#也要看报错情况 ① n’ union select 1,2, ’ n可以是1,-1,n’后面可接),select后面看情况设置显示位 ② \\\')–+ )可选,\\\'可换

    2024年02月13日
    浏览(45)
  • SQL注入实操(get、post基于报错的注入,sqlilabs靶场)

    1、利用order by 判断字段数 正确 ?id=1\\\'  报错 ?id=1\\\' order by 3 --+  (编号为3正确)------可以看出为3个字段 (编号为4错误) 2、union联合注入?id=0(不存在这样的记录,查不到的意思)(报错) ?id=0\\\' union select 1,2,3 --+    (联合查询前面查3个后面查3个) ?id=0\\\' union select 1,database(),user() --+ 

    2024年01月21日
    浏览(45)
  • SQL注入原理-POST注入

            小伙伴们大家好!本期为大家带来的是SQL注入原理之POST注入。 目录 GET传参与POST传参 什么是POST注入? 实战演示 一、判断是否存在注入点 二、万能密码 三、判断查询字段个数 四、找出可以回显的字段 五、爆出数据库的数据 1、爆出数据库版本和当前数据库的用户

    2023年04月08日
    浏览(37)
  • 漏洞原理 SQL 注入

    OWASP漏洞原理启航(第一课)-CSDN博客 OWASP漏洞原理<最基础的数据库 第二课>-CSDN博客 小皮面板(phpstudy

    2024年02月20日
    浏览(41)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包