web
SQL注入
SQL注入(SQL Injection, SQLi) 是一种网络安全漏洞,攻击者通过构造恶意的SQL语句将其注入到应用程序的输入中,进而操控数据库执行意料之外的操作。通过精心构造的输入参数,攻击者可以在相当大的范围内以数据库当前用户的权限执行SQL指令,读写数据库或者进行权限提升。
原理
见绿盟科技CTF竞赛培训-基础班中的SQL注入原理
寻找、验证方法
- 表单提交,主要是POST请求,也包括GET请求。
- URL参数提交,主要为GET请求参数。
- Cookie参数提交。
- HTTP请求头部可修改的值,比如: Referer、User_Agent等。
- 边缘的输入点,比如.mp3文件的一些文件信息等。
本博客所有文章除特别声明外,均采用 CC BY-NC-SA 4.0 许可协议。转载请注明来自 Sigma!