Web安全与防护 (微课版) 课件 03-2 项目三 任务二SQL注入漏洞分类的理解_第1页
Web安全与防护 (微课版) 课件 03-2 项目三 任务二SQL注入漏洞分类的理解_第2页
Web安全与防护 (微课版) 课件 03-2 项目三 任务二SQL注入漏洞分类的理解_第3页
Web安全与防护 (微课版) 课件 03-2 项目三 任务二SQL注入漏洞分类的理解_第4页
Web安全与防护 (微课版) 课件 03-2 项目三 任务二SQL注入漏洞分类的理解_第5页
已阅读5页,还剩9页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

项目三

安全的数据库交换Web安全与防护本任务要点学习目标SQL注入漏洞的概念。SQL注入漏洞的分类。SQL注入漏洞的危害。熟悉SQL注入漏洞的类型。掌握SQL注入漏洞的特点任务二

SQL注入漏洞分类的理解目录CONTENTS01/SQL注入漏洞的概念02/SQL注入漏洞的分类03/SQL注入漏洞的危害SQL注入漏洞的概念01什么是SQL注入漏洞的概念?SQL是操作数据库数据的结构化查询语言,网页的应用数据和后台数据库中的数据进行交互时会采用SQL。而SQL注入是将Web页面的原URL、表单域或数据包输入的参数,修改拼接成SQL语句,传递给Web服务器,进而传给数据库服务器以执行数据库命令。如果Web应用程序的开发人员对用户所输入的数据或cookie等内容不进行过滤或验证(即存在注入点)就直接传输给数据库,就可能导致拼接的SQL被执行,获取对数据库的信息以及提权,发生SQL注入攻击。SQL注入漏洞的概念01另外,在网站开发过程中,开发人员使用动态字符串构造SQL语句,用来创建所需的应用,这种情况下SQL语句在程序的执行过程中被动态的构造使用,可以根据不同的条件产生不同的SQL语句.通过把恶意的SQL命令插入到Web表单中提交、输入域名或页面请求的查询字符串中,注入到后台数据库引擎,欺骗服务器执行恶意的SQL命令SQL注入漏洞没有对输入的数据进行过滤(过滤输入);没有对发送到数据库的数据进行转义(转义输出)。原因SQL注入漏洞的概念01SQL注入漏洞的分类02字符串类型的注入注入点数据类型数字类型的注入、字符串类型的注入、搜索型注入数据提交方式GET注入、POST注入、COOKIE注入、HTTP头注入获取信息方式基于布尔的盲注、基于时间的盲注、基于报错的注入、联合查询注入、堆查询注入SQL注入漏洞的危害031数据库信息泄漏数据库中存放的用户的隐私信息的泄露。2网页篡改通过操作数据库对特定网页进行篡改。3网站传播恶意软件修改数据库一些字段的值,嵌入网马链接,进行挂马攻击。4数据库被恶意操作数据库服务器被攻击,数据库的系统管理员帐户被窜改。5服务器被远程控制被安装后门,经由数据库服务器提供的操作系统支持,让黑客得以修改或控制操作系统。6破坏硬盘数据瘫痪全系统。课堂实践一、任务名称:探索SQL注入基础知识二、任务内容:通过模拟SQL注入攻击,理解SQL注入的原理、类型、危害,并学习基本的防御措施。三、工具需求:Burp、数据库管理工具四、任务要求:完成实践练习后,由老师检查完成情况。课堂思考一、SQL注入是如何工作的?有哪些常见的注入点?二、有哪些不同类型的SQL注入?三、为什么开发者需要关注并理解SQL注入?四、有哪些有效的防御SQL注入的策略?课后拓展:安全事件SQL注入攻击请同学们通过互联网查找近5年内与SQL注入攻击的网络安全事件,分析导致相关安全事件发生的原因,提交word文档或PPT,下

人人文库> 全部分类> 教育资料 > 课件下载

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

最新文档

评论

0/150

提交评论