正文

OWASP Top10 系列之 SQL 注入

admin
admin V管理员 /0 评论 /14 阅读
0110
此篇文章发布距今已超过1天,您需要注意文章的内容或图片是否可用!

OWASP Top10 系列之 SQL 注入

OWASP Top10 系列 - 注入 - SQL 注入。由于个人原因,我目前为止只关注 MySQL、Oracle、MongoDB 的注入。

原理

一句话描述

  • 甲方:开发在字符串中直接拼接 sql 语句,未对特殊字符串进行检查,导致恶意语句被当做 sql 语句执行。
  • 乙方:破坏原 sql 语句、插入恶意 sql 语句,最后闭合原有 sql 语句的攻击方式。

利用

攻击点:任何与数据库交互的地方

组件

  • MySQL
  • Oracle
  • MongoDB

类型

  1. MySQL: https://www.tr0y.wang/2019/03/25/MySQL注入指北/
  2. Oracle: https://www.tr0y.wang/2019/04/16/Oracle注入指北/
  3. MongoDB: https://www.tr0y.wang/2019/04/21/MongoDB注入指北/

工具

  1. SqlMap: https://www.tr0y.wang/2018/03/21/SQLmap/

WooYun Package

待续...

防御

待续...

相关文章


- By:tr0y.wang


推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
ZhouSa.com-周飒博客