OWASP Top10 系列之 SQL 注入

本文最后更新于:2 年前

OWASP Top10 系列 - 注入 - SQL 注入。由于个人原因,我目前为止只关注 MySQL、Oracle、MongoDB 的注入。

原理

一句话描述

  • 甲方:开发在字符串中直接拼接 sql 语句,未对特殊字符串进行检查,导致恶意语句被当做 sql 语句执行。
  • 乙方:破坏原 sql 语句、插入恶意 sql 语句,最后闭合原有 sql 语句的攻击方式。

利用

攻击点:任何与数据库交互的地方

组件

  • MySQL
  • Oracle
  • MongoDB

类型

  1. MySQL: https://www.tr0y.wang/2019/03/25/MySQL注入指北/
  2. Oracle: https://www.tr0y.wang/2019/04/16/Oracle注入指北/
  3. MongoDB: https://www.tr0y.wang/2019/04/21/MongoDB注入指北/

工具

  1. SqlMap: https://www.tr0y.wang/2018/03/21/SQLmap/

WooYun Package

待续…

防御

待续…

相关文章

SQL 注入关联分析


来呀快活呀