sql入侵
大部分网站都是采用web动态网页结合后台数据库架设而成的。
网页从用户的请求中得到某些参数,然后构成sql语句请求发给数据库,再将从数据库中得到的结果返回给网页,从而完成网页所执行的功能。
在许多web网站系统中,由于网站程序中的变量处理不当,或者对用户提交的数据过滤不足,很可能产生一种被为sql注入(sql injection)的漏洞。
恶意攻击者可以利用用户可提交或可修改的数据,构造特殊的sql语句,将sql语句插入到系统实际执行的sql语句中,从而任意获取数据库中的某些重要信息,如管理员用户名和密码等;基至可以利用sql注入漏洞控制整个网站服务器。简单说来,sql注入漏洞就是由于用户可构造执行特殊sql语句的漏洞;所谓的sql注入攻击就是用户利用sql注入漏洞非法获取数据库信息或者入侵网站服务器的一种黑客攻击手段。根据网站所使用的web脚本语言不同,sql注入攻击可以分为asp注入、php、jsp、aspx注入等多种方式。
asp注入与php及其他语言的注入原理是一样的,但是由于web语言环境不同,因此实际注入时所使用的语句也不尽相同。同时,sql注入攻击并不仅局限在sql server数据库中,后台使用access、mysql、oracle、sybase等数据库的网站等都可能存在注入漏洞,遭受sql注入攻击。根据目前网络上的具体情况而言,大部分网站主要是采用“asp+sql server (access)”或者“php+mysql”结构来架设的。
1、 http错误信息在进行sql注入攻击时,要利用到从服务器返回的各种出错信息,但是在浏览器中默认设置是不显示详细错误返回信息的,不论服务器返回什么错误,我们都只能看到“http 500服务器错误”。因此,每次进行sql注入攻击测试前,首先要对ie浏览器进行一下设置:
- 打开ie浏览器,单击菜单【工具】→【internet选项】命令;
- 打开“internet选项”,选择“高级”选项卡,在“设置”列表框中找到“浏览组”,将其下的“显示友好http错误信息”前面的钩去掉。
2.准备用的工具与任何攻击手段相似,在进行每一次入侵前,都要经过检测漏洞、入侵攻击、种植木马、后门长期控制等这几个步骤。同样,进行sql注入攻击也不例外。在这几个入侵步骤中,黑客往往会使用一些特殊的工具,以大大提高入侵的效率和成功率。
本节主要介绍了Sql入侵手段及其原理。我们以后在使用例如“登录”的一些输入时,应该注意自己的数据是否安全。
下面要给大家普及一下科学知识啦:
I...IIS?!
可以用用08年的注入软件
这种攻击手短已经没有原来流行了,而且外面的这种软件也很少,教程少,所以说了也没什么用......