1. Toy模板网首页
  2. > Toy博客

SQL 盲注

9月前 作者:江小白写bug 分类:Toy博客 阅读(31) 违法举报

这篇具有很好参考价值的文章主要介绍了SQL 盲注。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

问题描述:

SQL 盲注,WEB安全(漏洞),sql,java,数据库

SQL 盲注,WEB安全(漏洞),sql,java,数据库

 

 解决方案:

通过建立过滤器方法

添加拦截器:

web.xml 文件配置拦截器文章来源地址https://www.toymoban.com/news/detail-663301.html

    <filter>
        <filter-name>sqlFilter</filter-name>
        <filter-class>com.fh.filter.SqlFilter</filter-class>
    </filter>
package com.fh.filter;

import com.fh.controller.base.BaseController;

import javax.servlet.*;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
import java.io.PrintWriter;
import java.util.Enumeration;


public class SqlFilter extends BaseController implements Filter {

    @Override
    public void init(FilterConfig filterConfig) throws ServletException {

    }

    @Override
    public void destroy() {
    }

    @Override
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {
        HttpServletRequest req = (HttpServletRequest)request;
        HttpServletResponse resp = (HttpServletResponse)response;
        PrintWriter writer = null;
        Enumeration params = req.getParameterNames();
        String sql = "";
        while(params.hasMoreElements()) {


            String name = params.nextElement().toString();
            String[] value = req.getParameterValues(name);
            for(int i=0;i<value.length;i++) {


                sql = sql+value[i];
            }
        }
        if(sqlValidate(sql)) {


            System.out.println("发现sql注入");
            response.setCharacterEncoding("GBK");
            writer = response.getWriter();
            writer.print("发现sql注入");
            return;
        }

        chain.doFilter(req,resp);
    }


    private boolean sqlValidate(String str) {


        str = str.toLowerCase();// 统一转为小写
        String badStr = "|exec|execute|insert|select|delete|update|drop|%|master|truncate|"
                + "declare|sitename|net user|xp_cmdshell|like|exec|execute|insert|create|drop|"
                + "table|grant|use|group_concat|column_name|information_schema.columns|table_schema|"
                + "select|delete|update|master|truncate|declare|-- |like|//|%";// 过滤掉的sql关键字,可以手动添加
        String[] badStrs = badStr.split("\\|");
        for (int i = 0; i < badStrs.length; i++) {


            if (str.indexOf(badStrs[i]) >= 0) {


                return true;
            }
        }
        return false;
    }


}

到了这里,关于SQL 盲注的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

分享到:
领支付宝红包 赞助服务器费用

相关文章

  • Sql server 数据库安全配置

    一、确保将“ sa”登录帐户设置为“已禁用” 描述 sa帐户是sysadmin中一个广为人知且经常使用的SQL Server特权帐户。 这是安装期间创建的原始登录,并且始终具 Principal_id = 1,sid = 0x01。实施此控制可降低攻击者对众所周知的主体执行暴力攻击的可能性。 加固建议 运行以下T-

    2024年02月05日
    浏览(52)
  • 简单搭建一个web api并且连接sql server数据库(保姆教程)

    简单搭建一个web api并且连接sql server数据库(保姆教程)

    这里我们创建一个ASP.NET Web应用,使用框架是.NET Framework4.7.2。 点击进入下一步。    点击创建后会出现一些配置类,我们这里创建一个空,并且在添加文件夹和核心引用处勾选WEB API。  然后点击创建,这里我们项目就创建完成了。然后我们开始文件里面的配置,如跨域等。

    2024年02月04日
    浏览(58)
  • CloudQuery一体化数据库SQL操作安全管控平台

    CloudQuery一体化数据库SQL操作安全管控平台

    💗wei_shuo的个人主页 💫wei_shuo的学习社区 🌐Hello World ! 导读 CloudQuery作为业界领先的面向企业的数据库安全解决方案,CloudQuery致力于打造一站式安全可靠的数据操作平台,旨在帮助企业安全、高效地使用数据库,提升研发与DBA、运维的协作效率,为企业核心数据提供更安全

    2024年02月08日
    浏览(51)

  • 确保你的数据库安全:如何防止SQL注入攻击

    最近,越来越多的组织和公司受到SQL注入攻击的困扰。这种攻击可以导致数据库中的敏感信息泄露,破坏数据完整性,甚至可能导致整个系统崩溃。如果您是一名数据库管理员或网站管理员,您需要了解如何保护您的数据库免受SQL注入攻击的威胁。在本文中,小德将介绍什么

    2024年02月02日
    浏览(53)

  • 【数据库 Microsoft SQL Server】实验五 数据库安全性与完整性实验

    一、实验目的 1、掌握数据库的自主存取控制方法,学会使用SQL数据控制语句来进行授权控制和权限回收,理解视图安全机制。 2、掌握数据库的三类完整性约束,定义数据库完整性及违约处理,通过违约操作实验来理解数据库完整性机制。 二、实验环境与实验准备工作 实验

    2024年02月08日
    浏览(42)

  • 五、C#与数据库交互( SQL注入与安全性)

    在C#与数据库交互时,安全性是非常重要的一部分,特别是要防止SQL注入攻击。SQL注入是一种常见的网络攻击手段,攻击者通过在输入字段中注入恶意SQL代码来操纵数据库查询。以下是一些关于如何防止SQL注入的建议: 使用参数化查询 : 这是防止SQL注入的最有效方法。参数化

    2024年02月02日
    浏览(53)

  • 利用java.sql包--访问和处理数据库数据

    The java.sql package in Java provides the API for interacting with relational databases using JDBC (Java Database Connectivity). JDBC is a standard Java API that allows Java programs to connect to and interact with various database management systems (DBMS) using SQL (Structured Query Language). The java.sql package contains several important interfaces and

    2024年02月10日
    浏览(38)
  • 通过Java连接Sql Server数据库

    通过Java连接Sql Server数据库

    JDBC是Java DateBase Connectivity的简写,翻译过来就是java连接数据库,或者更通俗地说就是java语言操作数据库。JDBC的本质其实是官方定义的一套操作所有关系型数据库的规则,也就是接口。 微软官方jdbc下载地址:https://www.microsoft.com/zh-cn/download/details.aspx?id=11774 下载之后解压到相

    2024年01月17日
    浏览(52)
  • 【SQL注入漏洞-04】布尔盲注靶场实战

    【SQL注入漏洞-04】布尔盲注靶场实战

    当我们改变前端页面传输给后台sql参数时,页面没有显示相应内容也没有显示报错信息时,不能使用联合查询注入和报错注入,这时我们可以考虑是否为基于布尔的盲注。 利用页面返回的布尔类型状态,正常或者不正常; 我们输入的语句让页面呈现出两种状态,相当于true和

    2023年04月16日
    浏览(57)
  • 【网络安全---sql注入(2)】如何通过SQL注入getshell?如何通过SQL注入读取文件或者数据库数据?一篇文章告诉你过程和原理。

    【网络安全---sql注入(2)】如何通过SQL注入getshell?如何通过SQL注入读取文件或者数据库数据?一篇文章告诉你过程和原理。

    分享一个非常详细的网络安全笔记,是我学习网安过程中用心写的,可以点开以下链接获取: 超详细的网络安全笔记 本篇博客主要是通过piakchu靶场来讲解如何通过SQL注入漏洞来写入文件,读取文件。通过SQL输入来注入木马来getshell等,讲解了比较详细的过程; 如果想要学习

    2024年02月07日
    浏览(51)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包