登录
|
注册
|
QQ账号登录
|
常见问题
联系我们:
我要上传
首页
浏览
幼儿/小学教育
中学教育
高等教育
研究生考试
外语学习
资格/认证考试
论文
IT计算机
经济/贸易/财会
管理/人力资源
建筑/环境
汽车/机械/制造
研究报告
办公文档
生活休闲
金融/股票/期货
法律/法学
通信/电子
医学/心理学
行业资料
文学/艺术/军事/历史
我的淘豆
我要上传
帮助中心
复制
下载此文档
网络安全第六讲数据库安全实例sql注入课件.pptx
文档分类:
IT计算机
|
页数:约43页
举报非法文档有奖
分享到:
1
/
43
下载此文档
搜索
下载此文档
关闭预览
下载提示
1.该资料是网友上传的,本站提供全文预览,预览什么样,下载就什么样。
2.下载该文档所得收入归上传者、原创者。
3.下载的文档,不会出现我们的网址水印。
同意并开始全文预览
(约 1-6 秒)
下载文档到电脑,查找使用更方便
下 载
还剩?页未读,
继续阅读
分享到:
1
/
43
下载此文档
文档列表
文档介绍
网络安全第六讲数据库安全实例sql注入课件.pptx
数据库安全实例:
SQL注射
本讲目标
了解网站的组成结构
理解SQL注射的基本原理
掌握工具及手工注射的方法
如何防范SQL注射攻击
一 网站是如何构成的
一般说来,网站基本构成方式为以下三部分:
1、前台页面 有的门是主人特地打开迎接客人的(提供服务),有的门是主人为了出去访问客人而开设的(访问远程服务)——理论上,剩下的其他门都该是关闭着的,但偏偏由于各种原因,很多门都是开启的。于是就有好事者进入,主人的隐私被刺探,生活被打扰,甚至屋里的东西也被搞得一片狼迹。这扇悄然被开启的门——就是“***”。
友情提示:
为了全面了解动态网页回答的信息,首选请调整IE的配置。
把IE菜单-工具-Internet选项-高级-显示友好HTTP错误信息前面的勾去掉。否则,不论服务器返回什么错误,IE都只显示为HTTP 500服务器错误,不能获得更多的提示信息。
Web攻击思路
踩点 (尽可能分析一切信息)
找上传漏洞 (有,上传木马)
暴库 (下载成功-6)
SQL注射 (先工具后手工)
获取Web管理员密码 (否-另寻他法)
登陆后台 (否-万能密码;再否-另寻..)
上传木马 (有过滤-找备份或另寻..)
*** (略)
仅供参考,根据实际情况不同,应有所改变
SQL注射思路
判断url是否可以注射
判断数据库类型
确定XP_CMDSHELL可执行情况
猜测或直接得出表名和字段名
构造语句得出字段的值
如果第3步中XP_CMDSHELL可执行,那
么就可以直接获得服务器最高权限。
仅供参考,根据实际情况不同,应有所改变
利用工具注射
针对Access数据库和Mssql数据库类型操作差不多。
工具有很多:明小子 啊D NBSI…….
目的:获得后台管理员密码。
Demo
SQL注入的位置
SQL注入一般存在于形如:HTTP://?id=YY等带有参数的ASP动态网页中。
“id=YY”即为页面查询条件。
注:有时一个动态网页中可能只有一个参数,有时可能有N个参数,有时是整型参数,有时是字符串型参数,不能一概而论。总之只要是带有参数的动态网页且此网页访问了数据库,那么就有可能存在SQL注入。如果ASP程序员没有安全意识,不进行必要的字符过滤,存在SQL注入的可能性就非常大。
Asp参数页面,有可能存在注射点
手工注射-注射点类型
?id=YY在页面执行中的含义:
当YY为整型参数时
当输入的参数YY为整型时,:select * from 表名 where id=YY
当YY为字符串型参数时
当输入的参数YY为字符串时,:select * from 表名 where id='YY'
注意:不做特殊说明时所有参数均为整型参数,所有字符均在英文输入法状态下输入,并且站点结构为IIS+asp
判断当前url是否为注射点
参数为字符串型参数时如何判断(YY为字符串型参数)
?id=YY’ (单引号)
;
?id=YY and 1=1
,而且与HTTP://?id=YY’运行结果相同
?id=YY and 1=2
;
如果以上三步满足,。那么?id=YY就是一个注射点
判断数据库类型
判断数据库类型cont.
判断数据库类型cont.
注:若数据库是MS-SQL,则第一条一定运行正常,
第二条则异常;
若是ACCESS则两条都会异常。
确定XP_CMDSHELL执行情况
HTTP://?id=YY and 1=(SELECT count(*) FROM WHERE xtype = 'X' AND name = 'xp_cmdshell')
判断XP_CMDSHELL是否存在,返回正常则存在.
HTTP://
网络安全第六讲数据库安全实例sql注入课件 来自淘豆网www.taodocs.com转载请标明出处.
猜你喜欢
科学趣味过山车教案
3页
新冠流调专班培训ppt课件
25页
科学就医合理教案
3页
科学保护大脑教案
4页
种子自画像教案
3页
小学生理发培训ppt课件
22页
福寿剪纸教案
3页
消费者热线客服培训ppt课件
31页
消防设施设备实操培训ppt课件
23页
社区成语游戏教案
3页
社会督导教案
3页
礼物精美手工教案
3页
乡镇纪检业务知识培训ppt课件
26页
硬笔主题春天教案
3页
矿山安全评价教案
4页
相关文档
更多>>
非法内容举报中心
文档信息
页数
:
43
收藏数
:
0
收藏
顶次数
:
0
顶
上传人
:
qiang19840906
文件大小
:
1.25 MB
时间
:
2022-08-08
相关标签
网络安全课件
网络安全法课件
网络安全ppt课件
网络安全案例
网络安全教育课件
网络安全法ppt课件
网络安全培训课件
数据安全案例
数据库安全措施
数据库安全方案
计算机原理
PHP资料
linux/Unix相关
C/C++资料
Java
.NET
windows相关
开发文档
管理信息系统
软件工程
网络信息安全
网络与通信
图形图像
行业软件
人工智能
计算机辅助设计
多媒体
软件测试
计算机硬件与维护
网站策划/UE
网页设计/UI
网吧管理
电子支付
搜索引擎优化
服务器
电子商务
Visual Basic
数据挖掘与模式识别
Web服务
网络资源
Delphi/Perl
Python
CSS/Script
Flash/Flex
手机开发
UML理论/建模
并行计算/云计算
嵌入式开发
计算机应用/办公自动化
数据结构与算法
SEO
最近更新
2024年单招职业适应性测试题200道及参考答案..
2024年四川省高职单招职业适应性测试题库-精..
2024年四川省高职单招职业适应性测试题库含..
2024年山东省高职单招职业适应性测试题库【..
小学合作学习教学设计案例
2024年河南省高职单招职业适应性测试题库及..
2024年河南省高职单招职业适应性测试题库(..
2024年重庆电子工程职业学院职业倾向性测试..
贵州电子信息职业技术学院职业倾向性测试题..
封面美术教学设计
实验教学优秀课程设计评比
《国际风险投资》课件
学校安全工作责任制
天使的心跳日语教学设计
学年度第二学期实训处工作计划
学前班数学课件《10以内的连加连减》PPT课件..
圆的面积教学过程的设计
基础知识劳动法
个人购房合同 15篇
向量空间的实例教学设计
叶问最厉害的武功教学设计
《备考需要平常心》课件
剃头大师读写结合教学设计
wake歌词
强直性脊柱炎X线表现课件
南方电网招聘简历模板
龙门吊轨道基础计算书
《蒸发设备》
最新癫痫诊治指南分类
iec-62321-5-2013---中文版
在线
客服
微信
客服
QQ
客服
意见
反馈
手机
查看
返回
顶部