运维安全-注入分类
Posted
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了运维安全-注入分类相关的知识,希望对你有一定的参考价值。
如何去发现SQL注入?1.通过Web漏洞扫描工具:APPScan、AWVS、
2.在参数后面添加特殊字符,比如单引号,各种各样的字符,通过提交字符,是否有报错的行为,来判断是否有注入漏洞。
3.通过工具大量的模糊测试。
数字型注入:id是整数,数字。
字符型注入:是字母,一般在后台登录的地方。
HTTP头部注入:访问网站时,管理员会有一段代码。像X-Forwarded-For会获取到浏览器真实IP地址。
如果使用了这个,会将你的IP地址注入到数据库中。
基于报错注入:单引号注入,能看到数据库的报错。
盲注:只是把错误信息屏蔽了。
时间:需要通过特定的手法,看SQL语句有执行。
以上是关于运维安全-注入分类的主要内容,如果未能解决你的问题,请参考以下文章
安全测试 web安全测试 常规安全漏洞 可能存在SQL和JS注入漏洞场景分析。为什么自己没有找到漏洞,哪么可能存在漏洞场景是?SQL注入漏洞修复 JS注入漏洞修复 漏洞存在场景分析和修复示例(代码片段