Web站点SQL注入攻击实验_第1页
Web站点SQL注入攻击实验_第2页
Web站点SQL注入攻击实验_第3页
Web站点SQL注入攻击实验_第4页
Web站点SQL注入攻击实验_第5页
已阅读5页,还剩2页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

Web站点的SQL注入攻击实验跟着B/S模式应用开发的发展,使用这类模式编写应用程序的程序员也愈来愈多。但是因为这个行业的入门门槛不高,程序员的水平及经验也错落不齐,相当大一部分程序员在编写代码的时候,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。用户能够提交一段数据库查问代码,依据程序返回的结果,获取某些他想得悉的数据,这就是所谓的SQLInjection,即SQL注入。实验目的演示经过在登录界面输入精心结构的提交内容,从而绕过出缺点的数据库权限检查,以管理员身份登录系统实验步骤以一般帐户登录目标页面步骤说明:经过阅读器接见登录页,输入一般用户帐户进行登录。1.翻开客户机上的阅读器,接见目标机的web服务,能够看到登录界面,如图1-1图1-12.用帐号test,密码NormalUser登录,能够看到一般帐号登录后的演示页面,如图1-2图1-2试试进行SQL注入以绕过管理员帐户考证步骤说明:经过阅读器接见登录页,结构管理员登录密码,依据返回的数据库错误结构新密码试试绕过考证。1.翻开客户机上的阅读器,接见目标机的web服务,能够看到登录界面,如图1-3图1-32.用帐号admin及随意密码(空密码除外)进行登录,将看到报错,如图1-4图1-43.用帐号admin,并结构密码内容进行登录,将看到数据库报错,如图1-5结构的密码内容为x'OR1,注意OR的前后均有一个空格。图1-5如图1-5所示,最上边出现的数据库报错,说明密码字段在后台履行经拼装后用于账户考证的SQL语句时出现的错误,详细的错误是单引号(')不般配。我们提交的密码为x'OR1,因为密码字段往常为字符串种类,所以第一个单引号是必须的,也就是说,OR从句后边的部分造成了单引号不般配的错误,所以我们加上一个单引号,来测试这样组合能否能经过考证,新结构的密码内容为:x'OR'1。注意,我们在”1”的前面加了一个单引号。4.用新结构密码试试进行登录,

我们能够看到出现了管理员页面,

即经过结构可能的

SQL。语句从而绕过了后台的帐号考证,如图1-6图1-6解决方案1.在编写程序时对外界提交的数据进行充分的过滤及检查2.拼装SQL语句时对语义进

人人文库> 全部分类> 教育资料 > 课件下载

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

最新文档

评论

0/150

提交评论