OWASP Top10 系列之 SQL 注入

Author Avatar
Tr0y 3月 25, 2019 13:15:08 本文共 198 字
  • 文为知己者书
  • 在其它设备中阅读本文章

OWASP Top10 系列 - 注入 - SQL 注入。由于个人原因,我目前为止只关注 MySQL、Oracle、MongoDB 的注入。

原理

一句话描述

  • 甲方:开发在字符串中直接拼接 sql 语句,未对特殊字符串进行检查,导致恶意语句被当做 sql 语句执行。
  • 乙方:破坏原 sql 语句、插入恶意 sql 语句,最后闭合原有 sql 语句的攻击方式。

利用

攻击点:任何与数据库交互的地方

组件

  • MySQL
  • Oracle
  • MongoDB

类型

  1. MySQL: https://www.tr0y.wang/2019/03/25/MySQL注入指北/
  2. Oracle: https://www.tr0y.wang/2019/04/16/Oracle注入指北/
  3. MongoDB: https://www.tr0y.wang/2019/04/21/MongoDB注入指北/

工具

  1. SqlMap: https://www.tr0y.wang/2018/03/21/SQLmap/

WooYun Package

待续…

防御

待续…

相关文章

SQL 注入关联分析

End

What do you think?

本文标题: OWASP Top10 系列之 SQL 注入
原始链接: http://www.tr0y.wang/2019/03/25/OWASP-Top10-系列之SQL注入/
发布时间: 2019.03.25-13:15
最后更新: 2019.05.31-16:36
版权声明: 本站文章均采用CC BY-NC-SA 4.0协议进行许可。转载请注明出处!