Focus on WEB Application and Software Engineering
一月 13
近段时间以来的网络攻击似乎多了起来,很多站点无故被黑甚至换掉首页。绝大多数站点被攻击的原因大都是由于站点程序上的漏洞,由攻击者得到WebShell后进而提升权限得到服务器主机权限。然而得到WebShell的途径也就集中到SQL Injection的攻击手法上。什么是SQL 注入攻击呢?来自官方的诠释:当应用程序使用输入内容来构造动态 SQL 语句以访问数据库时,会发生 SQL 注入攻击。如果代码使用存储过程,而这些存储过程作为包含未筛选的用户输入的字符串来传递,也会发生 SQL 注入攻击。SQL 注入可能导致攻击者能够使用应用程序登录在数据库中执行命令。如果应用程序使用特权过高的帐户连接到数据库,这种问题会变得很严重。换句话说:SQL 注入攻击利用易受攻击的数据访问代码,并允许攻击者在数据库中执行任意命令。如果应用程序使用数据库中不受限制的帐户,由于攻击者可以更自由地执行查询和命令,因此受到的威胁会更大。值得注意的是,传统的安全措施(如使用 SSL 和 IPSec)不能防止 SQL 注入攻击

使数据访问代码容易受到 SQL 注入攻击的常见漏洞包括:
· 弱输入验证
· 在不使用类型安全的参数时动态构造 SQL 语句
· 使用特权过高的数据库登录

http://lams.blogchina.com/blog/article_47389.621926.html

当前评分 2.1 , 共有 14 人参与

  • Currently 2.142857/5 Stars.
  • 1
  • 2
  • 3
  • 4
  • 5

添加评论




看不清?点击图片看看
biuquote
Loading



关于我

kittow (天笑)
80年代生于“天府之国”四川
爱好:编程、篮球、数码、旅游
乘一叶兴趣小舟,漂泊于浩瀚IT海洋。。。
TITLE:MSE of UESTC & 软件设计师
Technical Capacity | Last Blog