信息安全工程师案例分析真题考点:SQL注入漏洞
SQL注入漏洞原理:web页面源代码对用户提交的参数没有做出任何过滤限制,直接扔到SQL语句中去执行,导致特殊字符改变了SQL语句原来的功能和逻辑。
SQL注入漏洞检测判断方法:
1、利用SQL注入工具进行SQL注入检查。
2、手工检测
(1)判断是否存在注入,可以使用1’ and 1=1 #和1’ and 1=2 #进行判断,1=1正常输出,1=2错误输出,证明SQL语句生效,存在SQL注入漏洞
(2)判断注入类型:
①数字型:不需要任何符号就能带入数据库中进行查询,其实际本质语句(or 1=1-- )
②字符型:不再是直接的数字而是接入了字符串进行语句的查询,其实际本质(string’ or 1=1 # ')
③搜索型:也叫模糊查询,在SQL中的实际语句为:(%xxxx%‘or 1=1 #%’)
④XX型(也叫其他型):由于SQL语句拼接方式不同,在SQL中的实际语句为:,其本质为(xx’) or 1=1 # )
温馨提示:因考试政策、内容不断变化与调整,信管网网站提供的以上信息仅供参考,如有异议,请以权威部门公布的内容为准!
信管网致力于为广大信管从业人员、爱好者、大学生提供专业、高质量的课程和服务,解决其考试证书、技能提升和就业的需求。
信管网软考课程由信管网依托10年专业软考教研倾力打造,官方教材参编作者和资深讲师坐镇,通过深研历年考试出题规律与考试大纲,深挖核心知识与高频考点,为学员考试保驾护航。面授、直播&录播,多种班型灵活学习,满足不同学员考证需求,降低课程学习难度,使学习效果事半功倍。
发表评论 查看完整评论 | |