Red de conocimiento informático - Material del sitio web - Cómo realizar un ataque de inyección SQL en un sitio web

Cómo realizar un ataque de inyección SQL en un sitio web

1. Inyección POST, la antiinyección general generalmente restringe la obtención, pero a veces no hay restricciones en la publicación o hay muy pocas restricciones. En este caso, puede probar la inyección posterior, como el cuadro de inicio de sesión, el cuadro de búsqueda, el cuadro de votación, etc. Además, la publicación siempre se ha promocionado en ASP. A los programadores les gusta usar la recepción para recibir datos, lo que en muchos casos hace que los parámetros de obtención se pasen a través de la publicación/cookie. En este momento, si ocurre un programa anti-inyección, solo se puede obtener. estar restringido, por lo que no se explicará la inyección posterior

2. El principio es el mismo que el de la inyección posterior de cookies, evitando bastantes inyecciones inversas generales.

3. Inyección secundaria. Los datos inyectados por primera vez pueden no ser válidos, pero ¿qué pasa si se pueden procesar en la página a través del programa en el futuro? Aquí viene la inyección...

4.csrf, adecuado para situaciones en las que se conoce la dirección de backend y hay un día 0 conocido. Puede intentar usar csrf para secuestrar al administrador (este truco en realidad no lo es). sql Inyección)

5. Al romper palabras clave, como filtrar select, puedo usar sel /**/ect para omitirlo. Este truco es más común en mysql

6. se puede usar SELeCT para evitar la confusión entre mayúsculas y minúsculas

7.chr omite la codificación de declaraciones SQL

8. Si el número igual no es bueno, intente ser mayor que el número o menor que. el número, si la suma no es buena Simplemente intenta sumar o, para poder reemplazar el equivalente

9 Si el número igual no es bueno, intenta que sea mayor o menor que el número. la suma no es buena, intenta sumar o, para poder reemplazar el equivalente

p>

10 Si el número igual no es bueno, intenta que sea mayor que el número o menor que. el número si la suma no es buena, intente sumar o, para poder reemplazar el equivalente

11 Mire algunas palabras clave más Para determinar cuál es el programa antiinyección, adivine directamente el. código fuente o estudie el código fuente basándose en palabras clave incorrectas (como "operación ilegal, se ha registrado la dirección IP")

10. Registre la IP del inyector y las declaraciones y escríbalas en un archivo o. base de datos Sin embargo, la base de datos es asp, por lo que se elimina instantáneamente