数据库安全基于SQLite数据库的Web应用程序注入指南
Posted 安全龙
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了数据库安全基于SQLite数据库的Web应用程序注入指南相关的知识,希望对你有一定的参考价值。
概述
SQL注入又称hacking之母,是造成网络世界巨大损失而臭名昭著的漏洞之一,研究人员已经发布了许多关于不同SQL服务的不同攻击技巧相关文章。对于MSSQL,mysql和ORACLE数据库来说,SQL注入的payload一抓一大把,你可以在web应用中利用SQL注入漏洞进行攻击,如果其中任何一种数据库被用来作为后端数据库。SQLite就比较不那么出名了,因此相关的SQL注入payload就比较少,如果你想攻击后端数据库为SQLite的,那你就得去学习SQLite相关功能,然后构造出你自己的payload。因此,本文中我们将探讨两种关于SQLite的SQL注入攻击技巧。
1、基于联合查询的SQL注入(数字型或字符型)
2、SQL盲注
实验环境
为了实现基于SQLite的SQL注入,我们需要以下环境:
1、web服务器(这里是apache)
2、php环境
3、使用SQLite数据库的存在漏洞的web应用,这里有一个我自己开发的
测试应用包里包含PHP代码和SQLite数据库(ica-lab.db).数据库共有两个表单:Info和Users
实施攻击
1、基于联合查询的SQL注入
基于联合查询的SQL注入并不难,SQL查询直接去数据库中获取表名以及列名。让我们来试试基于联合查询的SQL注入(数字型),注入点:
在尝试order by子句后,我们可以发现列数为5,Inject URL:
|
1
以上是关于数据库安全基于SQLite数据库的Web应用程序注入指南的主要内容,如果未能解决你的问题,请参考以下文章 基于Linux+ARM+SQLite+WEB的智慧校园仿真应用系统 毕业论文+需求分析+概要设计+测试报告+答辩PPT+项目源码 每日安全资讯SQLite 被曝存在漏洞 所有 Chromium 浏览器受影响 |