【原创教程】spl注入
此内容原创猪头 sql注入基本原理
科普:解释型 or 编译型语言
语言分类:解释型语言和编译型语言。
解释型语言是一种在运行时由一个运行时组件解释语言代码并执行其中包含的指令的语言。
而编译型语言是代码在生成时转换为机器指令,然后在运行时直接由使用该语言的计算机执行这些指令。
在解释型语言中,如果程序与用户进行交互。用户就可以构造特殊的输入来拼接到程序中执行,从而使得程序依据用户输入执行有可能存在恶意行为的代码。
例如:在与用户交互的程序中,用户的输入拼接到SQL语句中,执行了与原定计划不同的行为,从而产生了SQL注入漏洞。
举例:’or 1=1绕过密码输入直接登录
登录业务系统的SQL语句
select* from admin where username=用户输入的用户名 and password=用户输入的密码
用户输入的内容可由用户自行控制,例如可以输入’or1=1-空格
拼接后的SQL语句
select* from admin where username=’or1=1- and password=用户输入的密码
其中or1=1永远为真,-注释后边内容不再执行,因此SQL语句执行会返回 admin表中的所有内容。
危害总结
数据库信息泄漏:数据库中存放的用户的隐私信息的泄露。
网页篡改:通过操作数据库对特定网页进行篡改。
网站被挂马,传播恶意软件:修改数据库一些字段的值,嵌入网马链接,进行挂马攻击。
数据库被恶意操作:数据库服务器被攻击,数据库的系统管理员帐户被窜改。
服务器被远程控制,被安装后门。经由数据库服务器提供的操作系统支持,让黑客得以修改或控制操作系统。
破坏硬盘数据,瘫痪全系统。
sqli-labs靶场搭建
可以参考下面文章中的sqli-labs部分
使用权归猪头所以
本站提供的资源,都来自网络,版权争议与本站无关,所有内容及软件的文章仅限用于学习和研究目的。不得将上述内容用于商业或者非法用途,否则,一切后果请用户自负,我们不保证内容的长久可用性,通过使用本站内容随之而来的风险与本站无关,您必须在下载后的24个小时之内,从您的电脑/手机中彻底删除上述内容。如果您喜欢该程序,请支持正版软件,购买注册,得到更好的正版服务。如果有侵权之处请第一时间联系我们删除。敬请谅解! E-mail:jiebeih@foxmail.com
暂无评论内容