精品范文模板 可修改删除
免责声明:图文来源于网络搜集,版权归原作者所以
若侵犯了您的合法权益,请作者与本上传人联系,我们将及时更正删除。
撰写人:___________日 期:___________
端输入、server变量以及cookie三种 基本【2l】的方式进行畸形SQL语句查询的提交,从而达到进行SQL注入的最终目的。
四、设计过程描述
初期和中期都在寻找不同的网站进行测试,后期就做如下内容:
找一个类似 ?p=YY 的网站。 二 、 在 ?p=YY 后 面 追 加
精品范文模板 可修改删除
免责声明:图文来源于网络搜集,版权归原作者所以
若侵犯了您的合法权益,请作者与本上传人联系,我们将及时更正删除。
“ and 1=1 ” 并 访 问 该 网 址 即 , ?p=YY and 1=1 应该与访问原地址得到的结果相同。 , 三 、 在 ?p=YY 后 面 追 加 “ and 1=2 ” 并 访 问 该 网 址 即 ?p=YY and 1=2 应该与访问原地址得到的结果不同,并提示数据库 错误。 (二,三同时满足则此网站必定存在 SQL 漏洞。 ) 四、访问 ?p=YY and exists (select * from 网站数据库常用表段名) 网站数据库常用表段名:admin users administrator 等,如果进入的网页像步骤二一样,是正 常网页,证明存在该表段名。找寻该 SQL 数据库使用的表名,进而寻找网站的管理员名、 密码等信息。我们可以通过 Socket 编程,把常用表段名写成一个链表,通过 Socket 编程遍 历一边,并找到可入侵点。 五、访问 ?p=YY and exists (select [网站数据库常用字段名] from 第 四步找到的可入侵表名) 网站数据库常用字段名:admin password username 等,如果进入的网页像步骤二一样,是 正常网页,证明存在该字段名。找寻该 SQL 数据库使用的字段名,进而寻找网站的管理员 名、密码等信息。我们可以通过 Socket 编程,把常用字段名写成一个链表,通过 Socket 编 程遍历一边,并找到更多有用的信息。 六、访问 ?p=YY and exists (select *from 第四步找到的可入侵表名 where 第五步找到的可入侵字段名 like '_ ‘) 下划线的长度等于猜测的字段名长度,admin password username 等,如果进入的网页像步 骤二一样,是正常网页,证明
精品范文模板 可修改删除
免责声明:图文来源于网络搜集,版权归原作者所以
若侵犯了您的合法权益,请作者与本上传人联系,我们将及时更正删除。
“_”的长度为该字段长度。找寻该 SQL 数据库中字段名例如 admin、password 等字段的长度,进一步得到某些字段的长度信息。我们可以通过 Socket 编 程,写一个 for 循环,测试各敏感字段的长度。 七、 利用第六步中得到的下划线的长度, 把其中部分下划线替换为 a-z 或 0-9 穷举出字段值。 我们可以通过 Socket 编程,写一个 for 循环,得到具体字段值。 八、访问 ,找到网站后门。
五、设计成果展示
实验步骤:
打开网页判断是否可以攻击
该网页不可以进行注入
精品范文模板 可修改删除
免责声明:图文来源于网络搜集,版权归原作者所以
若侵犯了您的合法权益,请作者与本上传人联系,我们将及时更正删除。
打开网页判断是否可以攻击,将首页的地址复制到工具中如图 单机“开始扫描“。
精品范文模板 可修改删除
免责声明:图文来源于网络搜集,版权归原作者所以
若侵犯了您的合法权益,请作者与本上传人联系,我们将及时更正删除。
猜测数据表名
猜测 数据库的表名 可以用工具知道数据库的名字。
精品范文模板 可修改删除
网络攻击与防护论文4 来自淘豆网m.daumloan.com转载请标明出处.
