浏览器安全之SQL注入

这篇具有很好参考价值的文章主要介绍了浏览器安全之SQL注入。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

基本概念

SQL注入漏洞是指,攻击者能够利用现有Web应用程序,将恶意的数据插入SQL查询中,提交到后台数据库引擎执行非授权操作。

主要危害

●非法查询、修改或删除数据库资源。
●执行系统命令。
●获取承载主机操作系统和网络的访问权限。

SQL注入漏洞的风险要高于其他所有的漏洞,原因如下。
●SQL注入攻击具有广泛性。SQL注入利用的是SQL语法,这使得所有基于SQL语言标准的数据库软件,包括SQL Server、Oracle、MySQL、DB2和Informix等,以及与之连接的网络应用程序,包括Active/Java Server Pages、PHP或Perl等都面临该类攻击。当然各种软件都有自身的特点,实际的攻击代码可能不尽相同。此外,SQL注入攻击的原理相对简单,介绍注入漏洞和利用方法的教程等资源非常多。这些因素造成近年SQL注入攻击的数量一直居高不下。
●相较于其他漏洞,对于SQL注入漏洞的防范要困难。例如,要实施缓冲区溢出攻击,攻击者必须首先能绕过站点的防火墙,而SQL注入内容往往作为正常输入的一部分,能够通过防火墙的控制审查,访问数据库进而获得数据库所在服务器的访问权。

防御措施

代码层漏洞防护

基本措施

  • 采用强类型语言,如Java、C#等强类型语言几乎可以完全忽略数字型注入。
  • 尽可能避免使用拼接的动态SQL语句,所有的查询语句都使用数据库提供的参数化查询接口。参数化的语句使用参数而不是将用户输入变量嵌入到SQL语句中。
  • 在服务器端验证用户输入的值和类型是否符合程序的预期要求
    一般应验证以下内容。
    • 检查字段是否为空,要求其长度大于零,不包括行距和后面的空格。
    • 检查字段数据类型是否符合预期要求,如所有HTTP请求参数或Cookie值的类型都应是字符串。
    • 检查输入字段长度是否符合预期要求。
    • 根据功能需求定义的允许选项来验证用户输入的数据。
    • 检查用户输入是否与功能需求定义的模式匹配。
  • 在服务器端对用户输入进行过滤。针对非法的HTML字符和关键字,可以编写函数对其进行检查或过滤。
    • 需要检查或过滤的特殊字符至少应包含:、&、;、$、%、@、'、"、,、\、+、*、\'(反斜杠转义单引号)、\"(反斜杠转义引号)、<>(尖括号)、()(小括号)、CR(回车符,ASCII0x0d)或LF(换行,ASCII0x0a)
    • 需要检查或过滤的关键字至少应包含(不区分大小写):and、exec、insert、select、delete、update、count、chr、mid、master、truncate、char、declare、backup或script
  • 避免网站显示SQL错误信息,如类型错误、字段不匹配等,防止攻击者利用这些错误信息进行一些判断。
  • 加固应用程序服务器和数据库,利用最低权限账户与数据库连接。

安全规范

Web安全开发中应当遵循安全规范。

使用专业的漏洞扫描工具进行安全性测试

常见的SQL注入漏洞扫描工具如下。文章来源地址https://www.toymoban.com/news/detail-568726.html

  • SQLMap(http://sqlmap.sourceforge.net):一款被称为SQL注入第一神器的开放源代码工具,可以自动探测和利用SQL注入漏洞及接管数据库服务器的过程。SQLMap支持多种数据库、多种类型和模式的注入。
  • Pangolin(中文译名“穿山甲”):一款目前国内使用率很高的SQL注入测试软件。它能够通过一系列简单的操作,完成从检测注入到控制目标。

到了这里,关于浏览器安全之SQL注入的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • Chrome,Edge浏览器关闭http跳转https

    在今天的互联网时代,网站安全已经成为了每个网站所有者不得不重视的问题。其中,HTTPS协议是保证网站安全性的最基本要素之一。目前,大部分网站都已经采用了HTTPS协议。然而,仍有一些网站仍采用未加密的HTTP协议,这会造成危险和风险。为了保障用户信息的安全,浏

    2024年02月08日
    浏览(69)
  • Chrome/Safari 浏览器怎么查看网络请求的 http 协议版本

    通过 Chrome 或者 Safari 浏览器的开发者工具查看网络请求后,发现只能看到 scheme 是 https,但是看不到 http 协议是 1.1 还是 2,亦或者是 http3 查看 http 请求 http 协议版本的方法是:鼠标右键表头中的任何一项,随后勾选上「Protocol」 随后可以看到新增了一列 Protocol,显示了 htt

    2024年02月15日
    浏览(60)
  • 如何让Chrome浏览器允许http网站打开摄像头和麦克风

    问题来源: 本地运行的项目调用摄像头好用 访问线上地址,发现调用摄像头的方法都不存在。 问了度娘,发现该问题与浏览器的安全策略有关。出于安全考虑,浏览器是不允许随便开启摄像头的,https协议下方可开启。 这一项功能要用到谷歌浏览器的实验性功能,谷歌浏览

    2024年02月17日
    浏览(70)
  • 谷歌浏览器(chrome)允许跨域/允许https网站中发送http请求

    直接上方法了 第一步:对谷歌浏览器图标点击鼠标右键,打开属性面板 第二步:在下图位置,添加下列代码 原来启动浏览器的地址: C:UsersxxxxxAppDataLocalGoogleChromeApplicationchrome.exe 增加的代码(注意开头是有个空格的,要把两部分用空格隔开的): --args --disable-web-secu

    2024年02月02日
    浏览(70)
  • Chrome(谷歌浏览器)强制将http转为https访问,最有效解决方法!

    第一种解决方案就是地址栏中输入【chrome://net-internals/#hsts】,在最下面的【Delete domain security policies】删除域名,如:hao123.com 有两种情况如下: 第一种,就是查无此根域名,就算删除到天荒地老也没有用! 第二种情况,就是有此根域名的信息,你删除才有效! 这个解决方案

    2024年02月04日
    浏览(57)
  • Chrome浏览器设置header请求 响应头 使用 Chrome ModHeader插件,添加/修改/删除HTTP请求标头和响应标头

    ModHeader插件支持添加/修改/删除请求标头和响应标头,并可以启用基于URL /资源类型的标题修改。 添加扩展程序,并且开启使用 在浏览器右上角的扩展程序中,确认ModHeader是否已经适用 点击modHeader,开启 在窗口的+号上,可以添加其他属性。进行修改,删除,置空 修改heade

    2024年02月11日
    浏览(108)
  • Chrome浏览器中访问http会自动跳转https下,导致请求和文件不能正常访问

    网上查了很多解决方案,例如清楚缓存等等其他方法,都不能解决该问题 例如: 地址栏输入: chrome://net-internals/#hsts 找到底部 Delete domain security policies 一栏,输入想处理的域名,点击 delete 。 搞定了,再次访问http域名不再自动跳转https了。 点击地址栏旁边的锁 打开网站设置

    2024年02月02日
    浏览(54)
  • [经验教程]谷歌浏览器google chrome网站不安全与网站的连接不安全怎么办?

    使用google chrome谷歌浏览器访问某些网站打开时google chrome谷歌浏览器提示网站不安全,与网站的连接不安全,您之所以会看到此警告,是因为该网站不支持https造成的怎么办? google chrome谷歌浏览器网站不安全与网站的连接不安全怎么办? 1、打开谷歌google chrome浏览器点击右上

    2024年02月07日
    浏览(73)
  • SQL SERVER 2022配置管理器[SQL浏览器SQL Server Management Studio (SSMS)]去哪儿了!

    SQL SERVER 2022安装后无法找到和无法进入SQl浏览器都是因为没有安装SSMS的原因, 在较早期的版本中,比如sql2008,安装后,能够找到sql server Management studio登陆数据库进行数据库的管理,是程序附带安装了ssms浏览器。sql server 2022没有捆绑ssms安装包,因此不会自动安装此工具。 s

    2024年02月04日
    浏览(53)
  • 关闭chrome浏览器上自动填充密码的时候被Windows安全中心要去输入密码确认

    问题: 自动填充密码的时候跳出来一个安全提示问我要不要用这个保护,我没仔细看就输入密码确认了,但后来发现很麻烦这样,每次自动填充都要输一遍密码; 解决办法: 右上角的三个点-选择“设置”, 选择“自动填充和密码” 选择“Google密码管理工具” 关闭“填充密

    2024年02月13日
    浏览(66)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包