一, web 漏洞
漏洞产生的原理:
SQL 注入就是通过把 SQL 命令插入到 Web 的表单中, 提交它之后, 将查血的语句传送到数据库, 最终让数据库学习到一些恶意的命令.
那些地方胡产生问题: 一切输入的地方, 与数据交互的地方.
二, 注入分类:
如何发现 SQL 注入: 通过 Web 漏洞扫描; 在参数后面添加错误语句; 大量的岁参数 Fuzz 测试; 直觉.
注入分类:
a. 数字型注入;
b. 字符型注入;
注入提交的方式:
GET POST COOKIE HTTP 头部注入
注入的方式:
a. 基于报错注入
b. 基于布尔的盲注
c. 基于时间的盲注
d. 联合查询
e. 内联查询
f. 堆叠的查询
三, MySQL 手工注入
为什么要学习手工注入?
工具 sqlmp
猜解字段; 查看当前数据库; 查询所有数据库; 查询数据库中的表; 查询表明中的所有字段
四, sqlmap 学习使用
五, 总结;
POST 如何使用 sqlmap 注入
如何防护 SQL 注入
CDN 隐藏真实 IP 地址; 通过安全幻术进行过滤; 对数据库最小权限设置; 服务器针对性的 WAF 防火墙
来源: http://www.bubuko.com/infodetail-3052002.html