【运维安全】-注入分类

如何去发现SQL注入?

1.通过Web漏洞扫描工具:APPScan、AWVS、

2.在参数后面添加特殊字符,比如单引号,各种各样的字符,通过提交字符,是否有报错的行为,来判断是否有注入漏洞。

3.通过工具大量的模糊测试。
数字型注入:id是整数,数字。

字符型注入:是字母,一般在后台登录的地方。


HTTP头部注入:访问网站时,管理员会有一段代码。像X-Forwarded-For会获取到浏览器真实IP地址。
如果使用了这个,会将你的IP地址注入到数据库中。



基于报错注入:单引号注入,能看到数据库的报错。

盲注:只是把错误信息屏蔽了。

时间:需要通过特定的手法,看SQL语句有执行。

原文地址:https://blog.51cto.com/13451715/2391347

时间: 2024-07-30 07:01:27

【运维安全】-注入分类的相关文章

从乌云看运维安全那点事儿

本文转自乌云知识库 0x00 背景 运维安全属于企业安全非常重要的一环. 这个环节出现问题,往往会导致非常严重的后果. 本文从乌云上提交的近2000个运维方面的漏洞总结了一下经常出问题的点. 希望各位看完之后能够有所收获~! 目前已经总结的问题有: struts漏洞 Web服务器未及时打补丁,有解析漏洞 PHP-CGI RCE FCK编辑器 server-status信息泄露 网站备份文件放在web目录,可被下载 列目录导致可看到敏感数据并查看 snmp信息泄露 weblogic弱口令 SVN信

运维安全思考

运维安全在现在的运维环境中依然是非常重要的.我将常见的安全分几个大项列出.有不足之处.欢迎补充. 网络 1.数据库和redis等不对外开放的服务禁止公网连接 2.关闭一些无用的服务和端口 3.公网访问的端口开放80和443端口(vpn或跳板机端口) 4.禁止公网ssh连接服务器(可选,需要安装vpn或跳板机) 系统 1.最小化安装系统 2.服务器用非root权限登陆或者证书登陆 3.服务启动用非root用户启动 4.开启防火墙只开启对外提供的端口 5.更新系统软件如:bash openssl o

永恒之蓝病毒事件所引发的运维安全行业新思考

一.NSA "永恒之蓝" 勒索蠕虫全球爆发 2017年5月12日爆发的 WannaCry勒索病毒肆虐了全球网络系统,引起各国企业和机构极大恐慌.而这次受害最严重的是Windows系统,自然也被锁定为怀疑对象,有人认为正是因为该系统对于漏洞的麻木和疏漏才导致了此次勒索病毒的蔓延.作为受害者的微软却将矛头指向美国国安局(NSA)和永恒之蓝.不法分子利用永恒之蓝漏洞攻击Windows系统,造成系统锁定,从而进行勒索,否则将删除所有信息 就WannaCry勒索病毒呈现的特征而言,面对新时期网络

运维安全概述

运维安全概述 iv4n · 2015/09/02 19:31 0x00 前言 运维安全是企业安全保障的基石,不同于Web安全.移动安全或者业务安全,运维安全环节出现问题往往会比较严重. 一方面,运维出现的安全漏洞自身危害比较严重.运维服务位于底层,涉及到服务器,网络设备,基础应用等,一旦出现安全问题,直接影响到服务器的安全:另一方面,一个运维漏洞的出现,通常反映了一个企业的安全规范.流程或者是这些规范.流程的执行出现了问题,这种情况下,可能很多服务器都存在这类安全问题,也有可能这个服务还存在其他

【运维安全】-MySQL手工注入

为什么要学习手工注入? 工具:sqlmap 万能密码,直接登录到后台页面,不需要密码:admin' or 1=1#,当后台存在注入的话,才能使用注入密码,不是所有的网站进行登录. 当输入admin,admin,在后台的SQL语句是: select * from user where username='$user' and password='pass'; 提交的代码时,语句是: select * from user where username='admin' or 1=1#' and pas

【运维安全】- 什么是SQL注入

为什么要学Web漏洞? 1.需要看懂日志,别人是怎么***的? 2.需要看懂别人提交的***语句. 3.需要看懂别人怎么操作的 SQL注入原理: 把sql语句插入web的表中,提交的查询sql,上传给数据库,最终达到数据库的恶意操作.不同的库,SQL注入手法不一样. 原文地址:https://blog.51cto.com/13451715/2391337

运维安全术语

1.肉鸡\抓鸡 抓鸡指通过扫描弱口令.爆破.漏洞自动化种马达到控制机器.如1433抓鸡.3389抓鸡.3306抓鸡等-- 2.(木)(马) 分类:1)计算机(木)(马)2)网页(木)(马):webshell①大马②小马:用于上传大马,如一句话(木)(马).可以通过如中国菜刀这样的软件来使用一句话(木)(马). 3.蜜罐 引诱(攻)(击),收集情报. 4.暗网 互联网由表层网.深网和暗网组成.暗网是深网的子集.一般以.onion作为域名后缀. 5.免杀 防止被杀毒软件查杀. 6.APT(攻)(击)

【运维安全】-sqlmap使用

使用环境:python 官网:sqlmap.org切换到路径下:启动sqlmap:python sqlmap.py下图注释:-u 指定URL-v 3 显示注入过程操作时,一直默认就可以,可以通过各种各样的语句,对站点进行测试.当显示下述信息时,代表有注入. 原文地址:https://blog.51cto.com/13451715/2391339

下载ASP.NET MVC5框架剖析与案例解析(MVC5原理剖析、漏洞及运维安全、设计模式)

地址:http://pan.baidu.com/s/1dFhBu2d 密码:peas 转一播放码,200多课!本课程针对MVC5版本的ASP.NET MVC,同时涉及太多底层实现的内容,所以大部分是找不到现成参考资料的,这些内容大都来自讲师对源码的分析和试验的证明,有不足之处,敬请谅解,本课程每一章都会提供一系列实例演示,您可以根据章节标题找到对应的源码或资料,本课程共分七章.