网站的噩梦——SQL注入
SQL注入通过网页对网站数据库进行修改。它能够直接在数据库中添加具有管理员权限的用户,从而最终获得系统管理员权限。黑客可以利用获得的管理员权限任意获得网站上的文件或者在网页上加挂木马和各种恶意程序,对网站和访问该网站的网友都带来巨大危害。
防御SQL注入妙法
第一步:下载SQL通用防注入系统的程序,在需要防范注入的页面头部用<!--# include file=”xxx.asp”-- >来防止别人进行手动注入测试。
可是如果通过SQL注入分析器就可轻松跳过防注入系统并自动分析其注入点,然后只需几秒钟,你的管理员帐号及密码就会被分析出来。
第二步:对于注入分析器的防范,笔者通过实验,发现了一种简单有效的防范方法。首先我们要知道SQL注入分析器是如何工作的。在操作过程中,发现软件并不是冲着“admin”管理员帐号去的,而是冲着权限(如flag=1)去的。这样一来,无论你的管理员帐号怎么变都无法逃过检测。
第三步:既然无法逃过检测,那我们就做两个帐号,一个是普通的管理员帐号,一个是防注入的帐号。为什么这么说呢?笔者想,如果找一个权限最大的帐号制造假象,吸引软件的检测,而这个帐号里的内容是大于千字以上的中文字符,就会迫使软件对这个帐号进行分析的时候进入全负荷状态甚至资源耗尽而死机。下面我们就来修改数据库吧。
1、对表结构进行修改。将管理员的帐号字段的数据类型进行修改,文本型改成最大字段255(其实也够了,如果还想做得大点,可以选择备注型),密码的字段也进行相同的设置。
2、对表进行修改。设置管理员权限的帐号放在ID1,并输入大量中文字符(最好大于100个字)。
3、把真正的管理员密码放在ID2后的任何一个位置(如放在ID549上)。
我们通过上面的三步完成了对数据库的修改。
这时是不是修改结束了呢?其实不然,要明白你做的ID1帐号其实也是真正有权限的帐号,现在计算机处理速度那么快,要是遇上个一定要将它算出来的软件,这也是不安全的。我想这时大多数人已经想到了办法,对,只要在管理员登陆的页面文件中写入字符限制就行了!就算对方使用这个有上千字符的帐号密码也会被挡住的,而真正的密码则可以不受限制。
分享到:
相关推荐
二阶SQL注入防御技术研究 本文研究的主题是二阶SQL注入防御技术,旨在解决当前Web应用程序中普遍存在的SQL注入漏洞问题。通过对二阶SQL注入的研究和分析,设计了一种二阶SQL注入防御系统,该系统主要包括随机化模块...
基于指令集随机化的SQL注入防御技术研究.pdf
【SQL注入防御与绕过策略】 SQL注入是一种常见的网络安全威胁,攻击者通过构造恶意的SQL语句,利用程序处理用户输入时的不安全性,来执行非授权的操作,获取敏感信息或者破坏数据库。360主机卫士是一款针对服务器的...
石油化工企业网络系统的SQL注入防御技术研究 在石油化工企业网络系统中,SQL注入攻击是一个非常常见的网络攻击方式,可能会导致企业网络系统的安全风险增加。为保障石油企业网络系统的安全性和健壮性,本文提出了一...
"程序分析技术在SQL注入防御中的应用研究" 程序分析技术在SQL注入防御中的应用研究是指利用程序分析技术来防御SQL注入攻击的方法。SQL注入攻击是一种常用且易于实施的攻击手段,对Web应用程序的安全构成严重危害。...
SQL 注入防御 SQL 注入是一种常见的 Web 应用程序安全漏洞,攻击者可以通过在用户输入中注入恶意 SQL 代码,来访问、修改或控制数据库中的数据。为了防御 SQL 注入攻击,需要了解 SQL 注入的原理和防御方法。 SQL ...
基于.NET的信息系统SQL注入防御研究 一、背景知识与研究意义 随着网络技术的飞速发展,信息系统应用日益广泛,同时网络攻击手段也日益多样化。SQL注入攻击作为一种常见的网络攻击手段,对使用.NET开发的信息系统...
本文主要探讨了如何绕过护卫神·入侵防护系统的SQL注入防御,提供了多种策略和技巧。护卫神是一款专注于服务器安全的产品,其SQL防注入功能旨在保护服务器免受SQL注入攻击。以下是对每种Bypass方法的详细解释: 1. ...
"基于正则类sql注入防御的绕过技巧" 基于正则类sql注入防御的绕过技巧是指在SQL注入防御中,使用正则表达式来过滤恶意输入,以防止SQL注入攻击。然而,攻击者可以通过各种技巧来绕过这种防御机制,本文将对这些技巧...
3.2 IPS设备SQL注入防御框架的优点 IPS设备可以提供实时的防御,检测和阻止恶意的SQL语句,防止攻击者获取敏感信息或篡改Web数据。此外,IPS设备还可以提供详细的日志记录和告警信息,帮助管理员更好地监控和管理...
35-35.渗透测试SQL注入之SQL注入防御
基于B/S系统的SQL注入防御技术研究 随着互联网技术的飞速发展,基于B/S(Browser/Server,浏览器/服务器)架构的Web应用程序越来越广泛地应用在各类信息系统中。然而,由于B/S系统通过浏览器与用户交互的特点,以及...
【SQL注入防御】SQL注入是一种常见的网络安全威胁,攻击者通过构造恶意输入,利用应用程序的漏洞,执行非授权的SQL命令,获取、修改、删除数据库中的敏感信息。此现象在SQL数据库广泛应用的今天尤为严重,包括MS SQL...
【SQL注入防御方法】 SQL注入是一种常见的网络安全威胁,它允许攻击者通过在Web应用程序的输入字段中插入恶意SQL代码,从而获取、修改、删除数据库中的敏感信息,甚至控制整个服务器。这种攻击方式的危害极大,尤其...
Bypass D盾_防火墙(新版)SQL注入防御.pdf
本文主要探讨了如何规避360主机卫士的SQL注入防御措施,针对的是360主机卫士Apache纪念版。SQL注入是一种常见的Web应用安全漏洞,攻击者通过构造恶意SQL语句,欺骗服务器执行非预期的数据库操作,获取敏感数据或篡改...
Bypass ngx_lua_waf SQL注入防御(多姿势).pdf
内容:程序分析技术在SQL注入防御中的应用研究.kdh
【SQL注入防御与绕过策略】 SQL注入是一种常见的网络安全攻击手法,通过在Web应用程序的输入字段中插入恶意的SQL代码,以获取、修改、删除数据库中的敏感信息或控制服务器。在本文中,我们将探讨如何绕过护卫神·...