随着B
/S模式应用开发的发展,使用这种模式编写应用程序的程序员也越来越多。但是由于程序员的水平及经验也参差不齐,相当大一部分程序员在编写代码的时候,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。用户可以提交一段数据库查询代码,根 据程序返回的结果,获得某些他想得知的数据,这就是所谓的SQL Injection,即SQL注入。SQL注入是从正常的WWW端口访问,而且表面看起来跟一般的Web页面访问没什么区别,所以目前市面的防火墙都不会对SQL注入发出警报,如果管理员没查看IIS日志的习惯,可能被入侵很长时间都不会发觉。但是,SQL注入的手法相当灵活,在注入的时候会碰到很多意外的情况。能不能根据具体情况进行分析,构造巧妙的SQL语句,从而成功获取想要的数据。据统计,网站用A
SP+A
ccess或SQLServer的占70%以上,PHP+MySQ占L20%,其他的不足10%。在本文,以SQL-SE
RVE
R+A
SP例说明SQL注入的原理、方法与过程。(PHP注入的文章由NB
联盟的另一位朋友zwell撰写的有关文章)SQL注入攻击的总体思路是:l 发现SQL注入位置;l 判断后台数据库类型;l 确定XP_C
MD
SHE
LL可执行情况l 发现WE
B
虚拟目录l 上传A
SP木马;l 得到管理员权限;
什么是SQL注入漏洞?
参考答案与解析:
-
相关试题
-
目前网络上流行的SQL注入攻击是借助 (38) 的漏洞进行的。
-
[单选题] 目前网络上流行的SQL注入攻击是借助 (38) 的漏洞进行的。A. 操作系统 B. WEB 应用系统C. CA 系统 D. 数据容灾系统
- 查看答案
-
目前网络上流行的SQL注入攻击是借助 (38) 的漏洞进行的(38)
-
[单选题] 目前网络上流行的SQL注入攻击是借助 (38) 的漏洞进行的(38)A. 操作系统B. WEB 应用系统C. CA 系统D. 数据容灾系统
- 查看答案
-
以下哪条命令能利用“SQL注入”漏洞动用XP_cmdshell存储过程,获得某个
-
[单选题]以下哪条命令能利用“SQL注入”漏洞动用XP_cmdshell存储过程,获得某个子目的清单?()A.https://localhost/script?’:EXEC+master..XP_cmdshell+’dir’:--B.https://localhost/script?1’:EXEC+master..XP_cmdshell+’dir’:--C.https://localhost/script?0’:EXEC+master..XP_cmdshell+’dir’:--D.https://loca
- 查看答案
-
以下哪条命令能利用“SQL注入”漏洞动用XP_cmdshell存储过程,获得某个
-
[单选题]以下哪条命令能利用“SQL注入”漏洞动用XP_cmdshell存储过程,获得某个子目的清单?()A .https://localhost/script?’:EXEC+master..XP_cmdshell+’dir’:--B .https://localhost/script?1’:EXEC+master..XP_cmdshell+’dir’:--C .https://localhost/script?0’:EX
- 查看答案
-
ASP网页的SQL注入入侵是什么?
-
1.0绪论当一台机器只开放了80端口(这里指的是提供HTTP服务)时,可能你的大多数漏洞扫描器都不能给到你很多有价值的信息(漏洞信息),倘若这台机器的管理员是经常为他的服务器打PATCH的话,我们只好把攻击的矛头指向WEB服务攻击了。SQL注入攻击是WEB攻击类型中的一种,这种攻击没有什么特殊的要求,只需要对方提供正常的HTTP服务,且不需要理会管理员是否是个“PATCH狂”。这类攻击主要是针对某种WEB处理程序(如ASP,JSP,PHP,CGI等等)的而进行。这篇文章不是在为阁下介绍什么新“玩意”,SQ
- 查看答案
-
什么叫做SQL注入,如何防止?请举例说明。
-
[问答题] 什么叫做SQL注入,如何防止?请举例说明。
- 查看答案
-
什么叫做SQL注入,如何防止?请举例说明。
-
[试题]什么叫做SQL注入,如何防止?请举例说明。
- 查看答案
-
SQL被注入怎么处理?
-
[主观题]SQL被注入怎么处理?SQL被注入了怎么处理?
- 查看答案
