一、 Web漏洞
- 漏洞產生的原理:
SQL注入就是通過把SQL命令插入到WEB的表單中,提交它之後,將查血的語句傳送到數據庫,最終讓數據庫學習到一些惡意的命令。 - 那些地方胡產生問題:一切輸入的地方,與數據交互的地方。
二、 注入分類: - 如何發現SQL注入:通過web漏洞掃描;在參數後面添加錯誤語句;大量的歲參數Fuzz測試;直覺。
- 注入分類:
a. 數字型注入;
b. 字符型注入; - 注入提交的方式:
GET POST COOKIE HTTP頭部注入 - 注入的方式:
a. 基於報錯注入
b. 基於布爾的盲注
c. 基於時間的盲注
d. 聯合查詢
e. 內聯查詢
f. 堆疊的查詢
三、 MySQL手工注入
- 爲什麼要學習手工注入?
工具sqlmp
猜解字段;查看當前數據庫;查詢所有數據庫;查詢數據庫中的表;查詢表明中的所有字段
四、 sqlmap學習使用
五、 總結; - POST如何使用sqlmap注入
- 如何防護SQL注入
CDN隱藏真實IP地址;通過安全幻術進行過濾;對數據庫最小權限設置;服務器針對性的WAF防火牆