运维安全-注入分类

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了运维安全-注入分类相关的知识,希望对你有一定的参考价值。

如何去发现SQL注入?

1.通过Web漏洞扫描工具:APPScan、AWVS、

2.在参数后面添加特殊字符,比如单引号,各种各样的字符,通过提交字符,是否有报错的行为,来判断是否有注入漏洞。

3.通过工具大量的模糊测试。
数字型注入:id是整数,数字。

字符型注入:是字母,一般在后台登录的地方。

技术图片
技术图片

HTTP头部注入:访问网站时,管理员会有一段代码。像X-Forwarded-For会获取到浏览器真实IP地址。
如果使用了这个,会将你的IP地址注入到数据库中。

技术图片
技术图片
基于报错注入:单引号注入,能看到数据库的报错。

盲注:只是把错误信息屏蔽了。

时间:需要通过特定的手法,看SQL语句有执行。

以上是关于运维安全-注入分类的主要内容,如果未能解决你的问题,请参考以下文章

安全测试 web安全测试 常规安全漏洞 可能存在SQL和JS注入漏洞场景分析。为什么自己没有找到漏洞,哪么可能存在漏洞场景是?SQL注入漏洞修复 JS注入漏洞修复 漏洞存在场景分析和修复示例(代码片段

运维安全- 什么是SQL注入

网络安全中需要注意的服务及端口分类

运维安全-sqlmap使用

运维知识系统和分类

网站漏洞检测公司对wordpress sql注入漏洞代码审计与修复