文档介绍:Web安全漏洞
目录
1
三、CSRF漏洞
二、XSS跨站漏洞
一、SQL注入漏洞
SQL注入漏洞
数据库基础概念
2
SQL注入漏洞
Mysql数据库示例
3
SQL注入漏洞
4
MSSQL数据库示例:
SQL注入漏洞
为什么要使用数据库?
:
html或者htm,是一种静态的页面格式,不需要服务器解析其中的脚本。由浏览器如(IE、Chrome
等)解析。
,制作、更新、维护麻烦
,在功能方面有较大的限制
,不存在SQL注入漏洞
asp、aspx、php、jsp等,由相应的脚本引擎来解释执行,根据指令生成静态网页。
,维护简便
,功能强大
,可能存在SQL注入漏洞
5
SQL注入漏洞
实例讲解SQL注入漏洞的成因
实例演示:http://web./Less-2/?id=1
SQL注入漏洞的成因:
数据与代码未严格分离,用户提交的参数数据未做充分的检查
过滤,即被带入到SQL命令中,改变了原来SQL命令的“语义”
,且成功被数据库执行。
8
SQL注入漏洞
SQL 注入定义:
很多应用程序都使用数据库来存储信息。SQL命令就是前端应用程序和后端数据库之间的
接口。攻击者可利用应用程序根据提交的数据动态生成SQL命令的特性,在URL、表单域,
或者其他的输入域中输入自己的SQL命令,改变SQL命令的操作,将被修改的SQL命令注
入到后端数据库引擎执行。
SQL注入的危害:
这些危害包括但不局限于:
A. 数据库信息泄漏:数据库中存放的用户的隐私信息的泄露。
B. 网页篡改:通过操作数据库对特定网页进行篡改。
C. 网站被***,传播恶意软件:修改数据库一些字段的值,嵌入网马链接,进行***攻击。
D. 数据库被恶意操作:数据库服务器被攻击,数据库的系统管理员帐户被窜改。
E. 服务器被远程控制,被安装***。经由数据库服务器提供的操作系统支持,让黑客得以修改或控制操作系统。
F. 破坏硬盘数据,瘫痪全系统。
9