渗透测试学习笔记(一)注入篇

  • 注入的利用范围:

(1)获取数据库信息(网站数据)

(2)拿到web权限,或者服务器权限。

  • 注入的发现和防护

(1)人为发现探测(手工探测,理解)

(2)工具扫描(avws,appscan等)

(3)CMS

修复

(1)代码修复(自定义过滤函数,自带函数)

(2)WAF防护(安全狗,web防火墙)

  • 注意

(1)数据库类型

(2)参数类型

(3)提交方式(get,post,cookie,http

(4)其他复杂注入

 

  • 学习思路

渗透测试学习笔记(一)注入篇_第1张图片

SQL注入含义:

Web应用程序对用户的输入合法性没有进行判断,前端传入后端的数据是可控的,并且将前端输入的参数带入到后端数据库查询,攻击者可以构造不同年的SQL语句来实现对数据库的任意操作。

危害:数据泄露,信息篡改,服务器入侵等等。

 

渗透测试学习笔记(一)注入篇_第2张图片

SQL注入原理:

1.输入参数用户可控

2.输入的语句可以带入数据库中进行查询

 

 

你可能感兴趣的:(渗透测试学习笔记(一)注入篇)