SQL数字型注入步骤(SQL数字型注入教程)
- 作者:小小课堂网 - 阅 670 推荐SQL数字型注入步骤,SQL注入漏洞可以细分很多种。今天,小小课堂网( xxkt.org.cn )分享的是《SQL数字型注入步骤(SQL数字型注入教程)》。希望对大家有所帮助。
当输入的参数为整数时,如:ID、年龄、页码等,如果存在注入漏洞,则可以认为是数字型注入,数字型注入是最简单的一种。假设有URL为
https://xxkt.org.cn/ test.php?id=8
可以猜测SQL语句为:
select * from table where id=8
测试步骤如下:
1、https://xxkt.org.cn/ test.php?id=8
SQL语句为: select * from table where id=8’,这样的语句肯定会出错,导致脚本程序无法从数据库中正常获取数据,从而使原来的页面出现异常。
2、https://xxkt.org.cn/ test.php?id=8 and 1=1
SQL语句为:select * from table where id=8 and 1=1,语句执行正常,返回数据与原始请求无任何差异。
3、https://xxkt.org.cn/ test.php?id=8 and 1=2
SQL语句变为:select * from table where id=8 and 1=2,语句执行正常,但却无法查出数据,因为“and 1=2”始终为假。所以返回数据与原始请求有差异。
如果以上三个条件均满足,则程序就可能存在SQL注入漏洞。
这种数字型注入最多出现在ASP、PHP等弱类型语言中,弱类型语言会自动推导变量类型,例如,参数id=8,PHP会自动推导变量id的数据类型为int类型,那么id=8 and 1=1,则会推导为string类型,这是弱类型语言的特性。但Java与C#这类强类型语言就不会。
以上就是小小课堂网( xxkt.org.cn )分享的是《SQL数字型注入步骤(SQL数字型注入教程)》。感谢您的阅读。
本文最后一次更新时间:2022年2月28日
随机文章
域名发现对于安全测试意义(域名发现对渗透测试作用)
小小课堂SEO培训(Google跨网站恶意软件警告)
小小课堂SEO培训(惠州seo优化顾问服务)
服务器漏洞扫描工具(kali linux安装与配置OpenVas)
绍兴seo培训(新链接重要程度判断)
网站图片过大怎么办(网络图片压缩与转格式)
肇庆seo培训(Google黑帽之隐藏文字和链接)
英文seo是什么意思(谷歌搜索结果呈现概览)
本文《SQL数字型注入步骤(SQL数字型注入教程)》由小小课堂网整理或原创,侵删,欢迎转载并保留版权:https://xxkt.org.cn/ 感谢您的阅读。
本站提供SEO培训、咨询、诊断,QQ:2216876660 微信:huowuyan 公众号:小小课堂网