您的位置: 首页 > IT文章 > SQL注入总结需要掌握的基础知识额外知识说明搭建漏洞环境

SQL注入总结需要掌握的基础知识额外知识说明搭建漏洞环境

分类: IT文章 • 2022-04-02 21:34:16

SQL注入总结
需要掌握的基础知识
额外知识说明
搭建漏洞环境

前言里的sql基础知识

额外知识说明

Mysql 、Sql Server 、Oracle关于sql注入的一些细微区别，这里就不做说明了

搭建漏洞环境

下载链接

https://github.com/Audi-1/sqli-labs

靶机简介

一款专注于sql注入的靶机

工具的使用

1.sqlmap
2.burpsuite

漏洞的利用条件

网站参数传递、可能与数据库交互的地方

漏洞原理

sql注入大致的类型

union注入、报错注入、布尔盲注、时间盲注、堆叠注入、二次注入、宽字节注入、cookie注入、XFF注入、dnslog注入

原理参见书籍

《Web安全攻防：渗透测试实战指南》
https://www.cnblogs.com/afanti/p/8047530.html

编写漏洞POC

这里使用工具sqlmap，参考链接:
https://www.cnblogs.com/lyxsalyd/p/13355364.html

SQL注入的防御

针对不同类型有不同类型的防御，总的来说使用PDO模式即可。

SQL bypass

学习链接：

WAF的技术原理
Bypass WAF Cookbook
WAF的工作原理和绕过浅析
技术讨论|在HTTP协议层面绕过WAF
HTTP 协议中的 Transfer-Encoding
[技术]编写Burp分块传输插件绕WAF
Content-Type类型说明
IIS的UNICODE漏洞