CTFDay5 SQL Injection
1,数据库
? 数据库,简而言之可视为电子化的文件柜——存储电子文件的处所,用户可以对文件中的数据运行新增、截取、更新、删除等操作。
? 所谓“数据库”系以一定方式储存在一起、能予多个用户共享、具有尽可能小的冗余度、与应用程序彼此独立的数据集合
2,数据库管理系统
? 数据库管理系统(Database Management System,简称DBMS)是为管理数据库而设计的电脑软件系统,一般具有存储、截取、安全保障、备份等基础功能
3,sql简介
SQL(Structured Query Language 结构化查询语句)是一种特定目的程序语言,用于管理关系数据库管理系统(RDBMS),或在关系流数据管理系统(RDSMS)中进行流处理。
4,常见数据库
ACCESS 比较古老
MySQL 当下主流
MSSQL
5,SQL注入的形成
数据与代码未严格分离,用户提交的参数数据未做充分检查过滤即被代入到SQL命令中,改变了原因SQL命令的“语义”,且成功被数据库执行。
6,SQL注入的危害
危害评级: 严重 高危 中危 低危 SQL注入为高危级别
危害:
数据库信息泄露
网页篡改
网站传播恶意软件
数据库被恶意操作
服务器被远程控制
破坏磁盘数据,瘫痪全体统
实际作用:
万能密码,绕过登录验证
获取敏感信息
文件系统操作
执行系统命令
7,注入点
参数名 参数值 COOKIE 目录名、文件名
8、工具
safe3
阿D
8,测试项目
and 测试 or 测试 Xor 测试 Like 测试 符号测试
观察语句是否被执行
fe3
阿D
8,测试项目
and 测试 or 测试 Xor 测试 Like 测试 符号测试
观察语句是否被执行
