免费观看又色又爽又黄的小说免费_美女福利视频国产片_亚洲欧美精品_美国一级大黄大色毛片

網(wǎng)頁(yè)安全:網(wǎng)站預(yù)防SQL攻擊的措施

2023-07-03    分類: 網(wǎng)站建設(shè)

專業(yè)攻擊者與普通攻擊者的不同在于專業(yè)攻擊者更能理解關(guān)于SQL首注。在對(duì)于嚴(yán)謹(jǐn)禁用詳細(xì)錯(cuò)誤消息的防御,普通攻擊者會(huì)直接跳過(guò)去選擇下一個(gè)攻擊對(duì)象。

對(duì)于攻擊SQL盲注漏洞的可能性是存在的,可以借助很多的技術(shù)手段。可以準(zhǔn)許攻擊者用時(shí)間、響應(yīng)和非主流通道獲取數(shù)據(jù)。SQL查詢方式發(fā)送一個(gè)返回TRUE或FALSE的容易問(wèn)題并反復(fù)進(jìn)行上千次,在數(shù)據(jù)庫(kù)中很難發(fā)現(xiàn)SQL盲注漏洞是因?yàn)樗鼈兌阍诹税堤帯H绻l(fā)現(xiàn)漏洞,就可以支持多種多樣的數(shù)據(jù)庫(kù),大量的可用漏洞。要考慮清楚響應(yīng)的時(shí)間和什么時(shí)間使用重量級(jí)的非主流通道工具。明確大部分SQL盲注漏洞的自動(dòng)化程度,明白有大量攻擊可以應(yīng)用。有圖形化界面、命令型等。有了SQL注入和盲注的基礎(chǔ)認(rèn)識(shí)后,就可以開(kāi)始進(jìn)一步利用漏洞。完成快速發(fā)現(xiàn)注入并且修復(fù)漏洞。

防SQL注入:

1.明確SQL盲注位置,明確的方法是:無(wú)效數(shù)據(jù)返回到的是通用錯(cuò)誤頁(yè)面,這時(shí)可通過(guò)包含副作用(如時(shí)間延遲)來(lái)確認(rèn)SQL注入,或者是拆分與平衡參數(shù)。接下來(lái)需要思考漏洞的屬性:能否強(qiáng)制產(chǎn)生錯(cuò)誤以及能否控制無(wú)錯(cuò)誤頁(yè)面的內(nèi)容?

2.可通過(guò)在SQL中提問(wèn)某一位是1還是0來(lái)推斷單個(gè)信息位,有很多推斷技術(shù)可用于實(shí)現(xiàn)該目標(biāo)。

3.使用基于時(shí)間的技術(shù)SLEEPO類型函數(shù)或運(yùn)行時(shí)間很長(zhǎng)的查詢來(lái)引入延遲。

逐位方法或二分搜索方法提取數(shù)據(jù)并利用延遲裝示數(shù)據(jù)的值,通常在SQLServer和Oracle上采用以時(shí)間作為推斷的方法,不過(guò)這個(gè)方法對(duì)MySQL就不大可靠,機(jī)制很可能會(huì)失效,但可通過(guò)增加超時(shí)或其他技巧來(lái)進(jìn)行改進(jìn)。

4.使用基于響應(yīng)的技術(shù),可用逐位方法或二分搜索方法提取數(shù)據(jù)并利用響應(yīng)內(nèi)容表示數(shù)據(jù)的值。

通常情況中,現(xiàn)有查詢中都包含一條插入子句,它根據(jù)推斷的值來(lái)保持查詢不變或返回空結(jié)果,基于響應(yīng)的技術(shù)可用于多種的數(shù)據(jù)庫(kù)。某些情況下,一個(gè)請(qǐng)求可返多個(gè)信息位。

5.使用非主流通道

帶外通信的優(yōu)點(diǎn)是:以塊而非位的方式來(lái)提取數(shù)據(jù),對(duì)速度而言存在明顯改進(jìn)。最常用的通道DNS。攻擊者說(shuō)服數(shù)據(jù)庫(kù)進(jìn)行一次名稱查找,該查找行為中包含一個(gè)由攻擊者控制的域名并在域名前添加了一些要提取的數(shù)據(jù)。在請(qǐng)求到達(dá)DNS名稱服務(wù)器后,攻擊者就能查看數(shù)據(jù)。其他通道還包括HTTP和SMTP。不同數(shù)據(jù)庫(kù)支持不同的非主流通道,支持非主流通道的工具的數(shù)量明顯要比支持推斷技術(shù)的少。

6.自動(dòng)利用SQL盲注

BSQLHacker是另一款圖形化工具,它使用基于時(shí)間及響應(yīng)的推斷技術(shù)和標(biāo)準(zhǔn)錯(cuò)誤來(lái)從所提問(wèn)的數(shù)據(jù)庫(kù)中提取數(shù)據(jù)。雖然它仍處于測(cè)試階段,不是很穩(wěn)定,但該工具前景很好且提供了很多欺詐機(jī)會(huì)。SQLBrute是一款命令行工具,它針對(duì)希望使用基于時(shí)間或響應(yīng)的推斷來(lái)利用某個(gè)固定漏洞的用戶。Sqlmap將漏洞的發(fā)現(xiàn)和利用結(jié)合在一款強(qiáng)大的工具中,它既支持基于時(shí)間的推斷方法,也支持基于響應(yīng)的推斷方法,另外還支持ICMP通道方法。該工具的成長(zhǎng)速度很快,開(kāi)發(fā)也很活躍。

網(wǎng)頁(yè)題目:網(wǎng)頁(yè)安全:網(wǎng)站預(yù)防SQL攻擊的措施
本文URL:http://m.newbst.com/news13/269363.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供網(wǎng)站建設(shè)域名注冊(cè)用戶體驗(yàn)動(dòng)態(tài)網(wǎng)站搜索引擎優(yōu)化品牌網(wǎng)站設(shè)計(jì)

廣告

聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請(qǐng)盡快告知,我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如需處理請(qǐng)聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時(shí)需注明來(lái)源: 創(chuàng)新互聯(lián)

成都定制網(wǎng)站網(wǎng)頁(yè)設(shè)計(jì)