这是一篇来自成都同事的投稿,
特别嘱咐小编要保留里面的“川普”,
还说,如果小编以后去成都,
他请吃最巴适的火锅……
小编纠结了很久3秒,
艰难地做了个决定咽了下口水,
竟然答应了!
火锅——麻辣鲜香,
约起三两好友,
边吃边来个SQL injector
5角(jio)钱的龙门阵
你来不来嘛?
啥子是SQL injector喃?
啥子嘛啥子,老火得很,问你啥子是SQL injector...
简单得遭不住,不就是利用现有应用程序,将(恶意)的SQL命令注入到后台数据库引擎执行的能力嘛!
好嘛好嘛,算你娃儿脑壳转得快,莫得问题!
咋个整哇?(黑客视角)
1、判断Web环境是否可以SQL注入。如果URL仅是对网页的访问,不存在SQL注入问题,如:http://news.xxx.com.cn/20101110.shtml就是普通的网页访问。只有对数据库进行动态查询的业务才可能存在SQL注入,如:http://www.xxx.cn/page?id=1,其中?id=1表示数据库查询变量,一般这种语句会在数据库中执行,因此可能会给数据库带来威胁。
2、寻找SQL注入点。完成上一步后,就可寻找可利用的注入漏洞,通过输入一些特殊语句,根据浏览器返回信息判断数据库类型,构建数据库查询语句找到注入点。
3、猜解用户名和密码。数据库中存放的表名、字段名都是有规律可言的。通过构建特殊数据库语句在数据库中依次查找表名、字段名、用户名和密码的长度以及内容;通过注入工具快速实现,并借助破解网站破译用户密码。
4、寻找WEB管理后台入口。通常WEB后台管理的界面不面向普通用户开放,要寻找到后台的登陆路径,可以利用扫描工具快速搜索到可能的登陆地址,依次进行尝试,就可以试出管理台的入口地址。
5、入侵和破坏。成功登陆后台管理后,就可以执行破坏,如篡改网页、上传木马、修改、泄漏用户信息等,并进一步入侵数据库服务器。
啥子特点?
变种极多
有经验的攻击者会手动调整攻击参数,令攻击数据的变种极多,导致传统的特征匹配检测方法仅能识别相当少的攻击,难以防范。
攻击过程简单
目前互联网上流行众多的SQL注入攻击工具,攻击者借助这些工具可以快速地对目标实施攻击和破坏。
危害极大
由于WEB编程语言自身的缺陷以及具有安全编程能力的开发人员少之又少,大多数WEB业务系统都具有被SQL注入攻击的可能。而攻击者一旦攻击成功,可以对控制整个系统和数据做更改和破坏,危害极大。
这个SQL injector 好恼火哦,咋个整嘛?
不慌哈,就像烫火锅一样,先荤后素,一样一样的来,才有盐有味得巴适安逸得板哈!
啷个子办?
你要是懂一灯(=懂一点),那就把下边几件事情做了:
1、输进来的东西严格的转义和过滤一哈;
2、数据库操作权限要严格li限制,不要哪个都可以进来;
3、使用预处理和参数化;
你要是昏li,啥子都不晓得,那就只有花钱消灾了,比如买个盛邦安全的web应用防护系统RayWAF,打开里边的SQL防护规则,还阔以把流量牵到云端ki防护,巴适!
哎哟喂,这一口气,让我歇口气,不说了不说了,两下来烫起走,肥肠烫起!
要得,我一直觉得肥肠是多么味道独特有嚼劲的!再下点毛肚哇?晓得你喜欢ci毛肚!
醒下你的瞌睡哈
(小编被残忍的推醒,擦了擦口水)
说好的ci火锅慢慢ci喃!
下次再继续我们的龙门阵
摆起摆起哈!
声明:
部分图片来源于网络,如有侵权,请联系删除。
盛邦安全热线:4006-911-199