SQL注入攻擊的應(yīng)用程序可能會(huì)執(zhí)行各種輸入過(guò)濾以防止攻擊者無(wú)限制地利用其中存在的缺陷。
深圳做網(wǎng)站公司應(yīng)用程序可能會(huì)刪除或凈化某些字符,或阻止常用的SQL關(guān)鍵字。這種過(guò)濾通常非常容易避開(kāi),如果
成都建站公司應(yīng)用程序受到SQL注入攻擊時(shí)可嘗試以下幾種技巧避開(kāi)過(guò)濾。
1.避免使用簡(jiǎn)單的確認(rèn)
一個(gè)簡(jiǎn)單的黑名單是一些輸入確認(rèn)機(jī)制使用,阻止或刪除任何出現(xiàn)在這個(gè)名單的數(shù)據(jù)。尋找確認(rèn)和規(guī)范化機(jī)制中的缺陷是者這種情況下嘗試使用標(biāo)準(zhǔn)的攻擊方法。比如,如果SELECT關(guān)鍵字被阻止或刪除等,可嘗試使用。
2.利用有缺陷的過(guò)濾
輸入確認(rèn)機(jī)制通常包含邏輯缺陷,可對(duì)這些缺陷加以利用,使被阻止的輸入避開(kāi)過(guò)濾。這種情況一般未能以遞歸方式應(yīng)用程序凈化邏輯方面的缺陷,利用應(yīng)用下橫線在對(duì)多個(gè)確認(rèn)步驟進(jìn)行排序。
3.避免使用被阻止的字符
如果注釋符號(hào)被阻止,通??梢栽O(shè)計(jì)注入的數(shù)據(jù),使其不會(huì)破壞周?chē)樵兊恼Z(yǔ)法;MS-SQL數(shù)據(jù)庫(kù)中注入批量查詢時(shí),不必使用分隔符。只要糾正所有批量查詢的語(yǔ)法,無(wú)論你是否使用分號(hào),查詢解析器都會(huì)正確解釋它們;如果要注入數(shù)字?jǐn)?shù)據(jù)字典或列名稱,不一定必須使用單引號(hào),通過(guò)各種字符串函數(shù),使用每個(gè)字符的ASCⅡ代碼動(dòng)態(tài)構(gòu)建一個(gè)字符串。
4.使用SQL注釋
與C++一樣,可以再SQL語(yǔ)句中插入行內(nèi)注釋,注釋內(nèi)容包含在/*與*/符號(hào)之間。在MySQL中,注釋甚至可以插入關(guān)鍵字中,這種方法可避開(kāi)某些輸入確認(rèn)過(guò)濾,同時(shí)暴力查詢中的語(yǔ)法。如果硬要程序阻止或刪除輸入中的空格,可以使用注釋“冒充”注入數(shù)據(jù)中的空白符。
網(wǎng)頁(yè)標(biāo)題:深圳做網(wǎng)站公司談應(yīng)用程序受到SQL注入攻擊時(shí)可嘗試過(guò)濾的各種技巧
鏈接URL:http://jinyejixie.com/news/159015.html
網(wǎng)站建設(shè)、網(wǎng)絡(luò)推廣公司-創(chuàng)新互聯(lián),是專注品牌與效果的網(wǎng)站制作,網(wǎng)絡(luò)營(yíng)銷(xiāo)seo公司;服務(wù)項(xiàng)目有做網(wǎng)站等
廣告
聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請(qǐng)盡快告知,我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如需處理請(qǐng)聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時(shí)需注明來(lái)源:
創(chuàng)新互聯(lián)