本文将从5个方面叙述SQL注入的一些问题,漏洞原理,测试,利用,危害,修复。接着介绍一些SQL注入的技巧东西。
注入类漏洞是OWASP TOP 10常客,SQL注入占比应该很高。顺带科普一下注入类漏洞,包括SQL,OS,LDAP注入。
SQL注入是发生在应用程序数据库层面的漏洞,当不可信的数据作为查询语句的一部分,发给解析器的时候,在设计不良得应用程序当中忽略检查,攻击者就可以欺骗解析器,执行计划外的命令。
案例:
String query = "SELECT * FROM accounts WHERE custID=‘"+request.getParameter("id")+"‘" ; 当攻击者传进来的id参数为‘ or ‘1‘=‘1 时候
查询语句拼接成 SELECT * FROM accounts WHERE custID=‘ ‘ or ‘1‘=‘1‘ ;
这个查询语句送到解析器里,解析执行后返回的结果为accounts表所有记录。更危险的攻击可能导致数据被篡改甚至存储过程被调用。
手工测试:
原文:http://www.cnblogs.com/pdoge/p/7624681.html