漏洞分析SQL Injection Attack Lab(自用,记录)

SQL Injection Attack Lab

  • 1 Overview
  • 2 Lab Environment
    • 2.1 Environment Configuration
    • 2.2 Turn Off the Countermeasure
    • 2.3 Patch the Existing VM to Add the Web Application
  • 3 Lab Tasks
    • 3.1 Task 1: MySQL Console
    • 3.2 Task 2: SQL Injection Attack on SELECT Statement
    • 3.3 Task 3: SQL Injection Attack on UPDATE Statement
    • 3.4 Task 4: Countermeasure — Prepared Statement

1 Overview

SQL注入是一种利用web应用程序和数据库服务器之间接口漏洞的代码注入技术。当用户的输入在被发送到后端数据库服务器之前没有在web应用程序中被正确地检查时,就会出现漏洞。

许多web应用程序接受用户的输入,然后使用这些输入构造SQL查询,因此web应用程序可以从数据库获取信息。Web应用程序也使用SQL查询在数据库中存储信息。这些是web应用程序开发中的常见实践。当SQL查询的构造不仔细,可能会出现SQL注入漏洞。SQL注入攻击是web应用程序中最常见的攻击之一。

在这个实验室中,我们创建了一个容易受到SQL注入攻击的web应用程序。我们的web应用程序包括许多web开发人员经常犯的错误。学生的目标是找到利用SQL注入漏洞的方法,演示攻击可以造成的破坏,并掌握可以帮助防御此类攻击的技术。

2 Lab Environment

2.1 Environment Configuration

Starting the Apache Server
启动Apache服务器。Apache web服务器默认启动。可以使用下面的命令手动启动web服务器。本次实验所用的虚拟机中是Apache2服务。
漏洞分析SQL Injection Attack Lab(自用,记录)_第1张图片
Configuring DNS(虚拟机已经配置好)
Con

你可能感兴趣的:((SEED)漏洞分析实验报告,mysql,linux,安全,SEED)