黑帽联盟

标题: 数据库注入原理 [打印本页]

作者: admin    时间: 2016-10-18 20:40
标题: 数据库注入原理
原理

SQL注入攻击指的是通过构建特殊的输入作为参数传入Web应用程序,而这些输入大都是SQL语法里的一些组合,通过执行SQL语句进而执行攻击者所要的操作,其主要原因是程序没有细致地过滤用户输入的数据,致使非法数据侵入系统。

根据相关技术原理,SQL注入可以分为平台层注入和代码层注入。前者由不安全的数据库配置或数据库平台的漏洞所致;后者主要是由于程序员对输入未进行细致地过滤,从而执行了非法的数据查询。基于此,SQL注入的产生原因通常表现在以下几方面:
①不当的类型处理;
②不安全的数据库配置;
③不合理的查询集处理;
④不当的错误处理;
⑤转义字符处理不合适;
⑥多个提交处理不当。

其实就是利用现在的web与数据库相连的原理,我们可以通过浏览器与web应用的一个交互,通过构造sql语句来对数据库进行恶意操作,从而获取管理员账号,密码的等信息

然后入侵后台拿web,服务器权限






欢迎光临 黑帽联盟 (https://bbs.cnblackhat.com/) Powered by Discuz! X2.5