web安全mysql基础

1项目实验环境

目标靶机:OWASP_Broken_Web_Apps_VM_1.2

渗透测试机:Kali-linux-2018.2-vm-amd64

1.sql注入所实现的目的效果

(1).对于Web应用程序而言,用户核心数据存储在数据库中,例如MySQL、SQL Server、Oracle;

(2).通过SQL注入攻击,可以获取、修改、删除数据库信息,并且通过授权来控制web服务器等其他操作;

(3).SQL注入即攻击者通过构造特殊SQL语句,入侵目标系统,致使后台数据库泄露数据的过程;

(4).因为SQL注入漏洞造成的严重危害性,所以常年隐居OWASP  TOP10的榜首!

2.SQL注入危害

(1).拖库导致用户数据泄露;

(2).危害web等应用的安全;

(3).失去操作系统的控制权;

(4).用户信息被非法买卖;

(5).危害企业及国家安全;

3.SQL基础

(1).登陆OWASP上的mysql

命令:mysql -uroot -p‘owaspbwa’

web安全mysql基础_第1张图片

(2).查看数据库

命令:show databases;

web安全mysql基础_第2张图片

命令:select database(); 查看当前所在库  databases//查看数据库=/=/database//selec函数使用

web安全mysql基础_第3张图片

命令;use dvwa;进入dvwa数据库

web安全mysql基础_第4张图片

(3).查看收据库的表

show tables;  查看整个表的名字

web安全mysql基础_第5张图片

(4).查看表结构

命令:desc users;

web安全mysql基础_第6张图片

(5).查看表记录==查看表中的内容

命令:select * from users;   后加\G可以查看字段值

web安全mysql基础_第7张图片

拓展

sql语句四类

sqlserver(T_SQL):
DDL—数据定义语言(CREATE,ALTER,DROP,DECLARE)

DML—数据操纵语言(SELECT,DELETE,UPDATE,INSERT)

DCL—数据控制语言(GRANT,REVOKE,COMMIT,ROLLBACK)

Oracle SQL(P_SQL) 语句可以分为以下几类:
1.数据操作语言语句[Data manipulation language,DML]
2.数据定义语言语句[Data definition language,DDL]
3.事务
控制语句[transaction control statement]
4.会话
控制语句[session control statement]

(6).查询指定字段值

web安全mysql基础_第8张图片

 

 

 

你可能感兴趣的:(web安全mysql基础)