滲透測試網站sql注入攻擊與防護
幾年前,SQL隱碼攻擊在世界範圍內很流行,但現在,SQL隱碼攻擊仍然是最流行的攻擊方法之一,開發人員為此頭疼。當然主要是因為注入攻擊的靈活性,一個目的,多條語句,多種編寫方法。SQL隱碼攻擊可以分為工具和手工兩種。由於自動化,工具通常比手動注入效率高得多,但與手動注入相比,它們受到限制,因為它們沒有針對性。
所有的輸入都可能是有害的,有引數的地方都可能存在SQL隱碼攻擊。但是由於瀏覽器的限制,http頭中的一些隱藏連結、API呼叫和引數往往被忽略。那麼如何進行全面的SQL隱碼攻擊挖掘呢?在滲透測試中,無論注入工具多麼強大,都會有侷限性,手動注入可以解決這個弱點。當然,手動注入需要滲透者對資料庫的語法有一定的瞭解。但是由於SQL隱碼攻擊的靈活性和多樣性,如果詳細討論的話,恐怕可以寫成單本書了。在這裡,作者將選擇最具代表性的例子進行論證。
注入遇到的一個常見情況是注入得到的加密密文無法求解。為了解決這個問題,這裡解釋幾種可行的方法。(1)使用國外的搜尋引擎,往往會有意想不到的收穫,最常見的是Google。(2)用Whois查出管理員郵箱,然後發郵件通知管理員更改密碼。郵件內容無非是“我們是XXX檢測中心,你的網站有風險。請立即更改管理員密碼……”。(3)分析Cookie。有時加密的密文會出現在cookies中。這種情況下,cookies中的密文可以直接被管理員的密文替換。(4)在特定的注入環境中,原始密文有時可以被新密文替換。當然這種方法的執行條件比較苛刻,實踐中很少遇到。(5)使用密碼檢索功能。使用祕密安全問題來檢索密碼是很常見的。在這種情況下,可以注入祕密安全問題的答案,然後使用密碼檢索功能成功登入目標帳戶。(6)邏輯缺陷。比如一些登入功能、修改功能、密碼檢索功能等都是以密文的形式直接在資料包中傳輸的。這時可以用密文代替,這樣就可以登入並更改密碼了。
如何防護SQL隱碼攻擊呢?
1.對程式碼進行過濾非法符號如</?&>之類的,對一些指令碼標籤scrpt以及img或frame都進行過濾和替換。
2.對一些函式變數直接進行強制定義,比如金額函式這裡直接限定只能寫入正整數型別的數值,那麼其他的引數像姓名的話可以直接限定到只允許寫入中文和英文的數值,其他的以此類推。
3.對一些帶入資料庫查詢和更新的語句,一定要看看get或post過來的資料引數是否是直接把引數型別鎖定好了的,防止被注入惡意語句導致被攻擊。
4.如果對著程式碼方面的問題不懂得話可以到網站安全公司去尋求幫助,國內如SINESAFE,鷹盾安全,綠盟,啟明星辰等等。
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/31542418/viewspace-2736717/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- 網站被攻擊滲透測試出漏洞怎麼辦網站
- 如何進行滲透測試XSS跨站攻擊檢測
- 網路滲透測試實驗三-XSS和SQL隱碼攻擊SQL
- 網路滲透測試實驗三——XSS和SQL隱碼攻擊SQL
- 網站安全維護對公司網站滲透測試剖析網站
- 網站漏洞修復SQL隱碼攻擊防護辦法網站SQL
- beescms網站滲透測試網站
- WEB三大攻擊之—SQL隱碼攻擊與防護WebSQL
- Kali linux滲透測試系列————28、Kali linux 滲透攻擊之社會工程學攻擊Linux
- 網站滲透測試服務之人工安全防護網站
- 使用C#winform編寫滲透測試工具--SQL隱碼攻擊C#ORMSQL
- 伺服器滲透測試之攻擊漏洞方法伺服器
- 網站滲透測試安全檢測漏洞網站
- 網站滲透測試安全檢測方案網站
- 滲透測試學習之探測和攻擊無線網路五
- 滲透測試學習之探測和攻擊無線網路六
- 滲透測試學習之探測和攻擊無線網路八
- 滲透測試學習之探測和攻擊無線網路九
- 滲透測試學習之探測和攻擊無線網路十
- 滲透測試學習之探測和攻擊無線網路十一
- 滲透測試學習之探測和攻擊無線網路一
- 滲透測試學習之探測和攻擊無線網路二
- 滲透測試學習之探測和攻擊無線網路三
- 滲透測試學習之探測和攻擊無線網路四
- 什麼是滲透測試?網站有必要進行滲透測試嗎?網站
- 網站安全測試之APP滲透測試漏洞網站APP
- APP滲透測試 深入挖掘漏洞以及如何防止攻擊APP
- 滲透測試模擬黑客攻擊之蒐集資訊黑客
- 滲透測試服務之瀏覽器攻擊分析瀏覽器
- 滲透測試服務之伺服器攻擊手段伺服器
- 黑客攻擊滲透測試的社會工程學利用黑客
- 網站漏洞檢測 滲透測試檢測手法網站
- 如何學習網站漏洞滲透測試學習網站
- 用APP滲透測試來查詢網站被駭客攻擊的根源以及漏洞修復APP網站
- 【滲透測試培訓】什麼是ARP欺騙攻擊?攻擊方法有哪些?
- 滲透測試:看“道德黑客”如何進行模擬攻擊黑客
- 滲透測試 網站安全測試行業問題分析網站行業
- 網站安全公司 滲透測試運營之路網站