全球排行榜123网,关注世界各行业排行榜前十名,国内全行业十大品牌2022年最新排名!

SQL注入及危害、防御手段的处理方法(附2023年最新排名前十名单)

2022-12-13 17:09:52 全球排行榜123网 影响力

 

SQL注入及危害、防御手段的处理方法(附2023年最新排名前十名单):一、什么是SQL注入SQL(Structured Query Language),即结构化查询语言,用于操作关系型数据库管理系统。目前,大多数Web编程语言提供了操作SQL的接口,……全球排行榜123网www.meihu5.com)小编为你整理了本篇文章,希望能解对你有所帮助!

 

一、什么是SQL注入

SQL(Structured Query Language),即结构化查询语言,用于操作关系型数据库管理系统。目前,大多数Web编程语言提供了操作SQL的接口,以方便与数据库进行交互。但是在开发Web应用的过程中,由于忽视了代码的健壮性和安全性,攻击者可以构造巧妙的SQL语句从而获取到敏感数据,因此导致了SQL这种攻击方式的流行。

二、SQL注入的原理

在B/S模式中,用户可以通过Get或Post等方式,对服务器发出HTTP请求。在服务器端,对数据库执行查询操作,将查询的结果返回浏览器端。黑客利用上述过程,将精心构造的请求放到传入的变量参数中,让服务器端执行恶意代码,从而达到了读取数据库中敏感信息的效果,甚至将数据库删除。这一攻击过程就是SQL注入,它的原理如图所示。

SQL注入及危害、防御手段的处理方法

从访问流程上来看,攻击者与普通的用户是没有任意区别的,都是将数据发送到服务端,服务端处理数据并返回结果。但是攻击者对输入数据进行了精心的处理,在进行SQL语句操作的时候,效果就会和正常流程完全不同,从而达到获取整站数据的效果。

三、触发SQL注入的方式

攻击者通常可以使用以下几种方式来触发SQL注入漏洞:(1)用户的输入。通常使用HTTP的GET或POST请求传输用户数据,通过修改POST包中的数据或者GET请求中URL参数值来实现恶意代码注入。(2)通过HTTP请求头。服务器端可能会保存用户的IP及User-Agent等信息,此时,攻击者可以在X-Forwarded-For 或UA等请求头字段中构造语句进行SQL注入。(3)二阶注入。攻击者在HTTP请求中提交恶意输入,服务端将恶意输入保存在数据库中,攻击者紧接着提交第二次HTTP请求。为处理第二次请求,服务端需要查找数据库,触发了之前存储的恶意输入,并将结果返回给攻击者。攻击者需要通过两次独立请求才可以实现SOL注入的目的,这种攻击方式因此得名二阶注入。

四、SQL注入的特点

SQL注入具有以下特点:(1)变种多。当页面可以返回错误的信息时,可以使用基于错误(Error-based)的注入方法。如果服务端对返回的错误进行过滤,可以使用基于布尔(Bool-based)或基于时间(Time-based)的注入方法。另外,熟练的攻击者会适当调整攻击参数,以绕过特定字段的检测,使传统的特征匹配方法检测不到注入。(2)攻击简单。目前网上流行各种开发的SQL注入工具,使得发动攻击的门槛大大降低。即使是毫无经验的“脚本小子”,借助这些工具也可以对目标网站进行攻击。(3)危害大。攻击者一旦得手,轻则获取整个网站的敏感数据,重则写入木马,控制整个服务器,破坏力极大。在近几年OWASP公布的Web应用十大安全漏洞排名中,SOL注入稳居榜首4。虽然其原理及利用方式并不复杂,但对目标网站造成的破坏力巨大。

五、SQL注入的危害

(1)攻击者未经授权可以访问数据库中的数据,盗取用户的隐私以及个人信息,造成用户的信息泄露。(2)可以对数据库的数据进行增加或删除操作,例如私自添加或删除管理员账号。(3)如果网站目录存在写入权限,可以写入网页木马。攻击者进而可以对网页进行篡改,发布一些违法信息等。(4)经过提权等步骤,服务器最高权限被攻击者获取。攻击者可以远程控制服务器,安装后门,得以修改或控制操作系统。

六、SQL注入的漏洞检测

SQL注入漏洞的检测分为手动检测和自动检测。手动检测是安全测试人员对某个特定区间的URL进行手工注入测试;自动检测是利用爬虫爬取网站的所有链接,对所有的链接自动进行注入测试。在大型应用中,手动检测的工作量是巨大的,一般采用自动检测的方式。

七、SQL注入的防御手段

防御SQL注入的核心思想是对用户输入的数据进行严格的检查,并且对数据库的使用采用最小权限分配原则。目前SQL注入的防御手段有以下几种:(1)基于攻击特征的匹配过滤。这是目前使用最为广泛的方式,系统会将攻击特征做成数据库,一旦匹配到这些攻击特征就会认定检测到SQL注入。这种方式可以有效的过滤大部分SQL注入攻击,但是大大增加了程序的复杂度,同时可能影响到业务的正常查询。(2)对用户输入进行转义。例如,常见的SQL注入语句中都含有“‘’”,通过转义将“‘’”转义为“/”,SQL注入语句就会达不到攻击者预期的执行效果,从而实现对SQL注入进行防御。(3)数据类型进行严格定义,数据长度进行严格规定。比如查询数据库某条记录的id,定义它为整型,如果用户传来的数据不满足条件,要对数据进行过滤。数据长度也应该做严格限制,可以防止较长的SQL注入语句。(4)严格限制网站访问数据库的权限。(5)近几年来,随着机器学习与人工智能技术的火热,基于机器学习的检测SQL注入方法成为了新的研究方向。首先将样本SQL语句转换为特征向量集合,使用机器学习的方法进行训练,将得到的模型投入使用,利用训练的模型检测传入的数据是否包含恶意SQL注入。(6)其他防御措施。例如,避免网站显示SQL执行出错信息,防止攻击者使用基于错误的方式进行注入;每个数据层编码统一,防止过滤模型被绕过等。

Web应用程序存在SQL注入,往往是因为在程序编写的过程中,开发人员违背了“代码与数据分离”原则。一方面,攻击者可以任意更改输入数据;另一方面,攻击者可以在数据里构造代码,让服务器端把数据解析成代码执行。所以,只要遵循“代码与数据分离”原则,对用户端传入的数据进行严格检查,从技术角度而言,可以实现完全防御SQL注入攻击。

到此这篇关于SQL注入及危害防御手段的处理方法的文章就介绍到这了,更多相关SQL注入内容请搜索以前的文章或继续浏览下面的相关文章,希望大家以后多多支持!

 

声明:本文图片、文字、视频等内容来源于互联网,本站无法甄别其准确性,建议谨慎参考,本站不对您因参考本文所带来的任何后果负责!本站尊重并保护知识产权,本文版权归原作者所有,根据《信息网络传播权保护条例》,如果我们转载内容侵犯了您的权利,请及时与我们联系,我们会做删除处理,谢谢。

 

相关内容

  • 中国古代十大才子,中国古代才子排名榜(附2022最新排名前十名单)
    中国古代十大才子,中国古代才子排名榜(附2022最新排名前十名单)

    中国古代著名才子有哪些?小编整理了中国古代十大才子,包括苏轼、唐寅、李白、屈原、杜甫等古代最有才气的十大才子,以下中国古代才子排名榜仅供参考和了解,不作为权威排名,一起来看看吧。1.屈原国籍:战国末期职业:诗人屈原是出生于公元前340年的战国时期楚国诗人、政治家,其在少年时受过良好的教育,博闻强识,志向远大,在政治上,不仅内政上主张举贤修法,外交上力主联齐抗秦,同时在文学上,也是中国历史上以为非常伟大的爱国诗人,历来不仅创立的楚辞,同时像《离骚》《九歌》《九章》《天问》等都是其代表作品,而且其诗歌对后世也...

    2022-12-11 才子中国古代十大
  • 黑豹乐队10任主唱介绍,盘点黑豹乐队历任主唱(附2022最新排名前十名单)
    黑豹乐队10任主唱介绍,盘点黑豹乐队历任主唱(附2022最新排名前十名单)

    前不久芒果台继《乘风破浪的姐姐》后又推出新一档的节目《披荆斩棘的哥哥》,一经播出就受到不少网友的欢迎,圈内多位知名艺人均有加盟,给大家带来了不少精彩舞台。前不久这档节目开启了投票通道,截至目前的第一位超乎很多人的意料,那就是黑豹乐队的第10任主唱——张淇。张淇在节目中受到这么高的欢迎,也再次让黑豹乐队重新走进了大众视线。黑豹乐队是国内知名的老牌摇滚乐队,从1987年到现在已经组队34年了,但这34年期间成员也是换了再换,主唱更是换了有10任,那么究竟有哪些人担任过黑豹乐队的主唱呢?...

    2022-11-08 黑豹主唱乐队
  • 英国足球十大后卫排行榜,英国强力后卫排名(附2022最新排名前十榜单)
    英国足球十大后卫排行榜,英国强力后卫排名(附2022最新排名前十榜单)

    后卫是足球运动中位于后场位置的运动员,后卫需要和前锋、中场相互配合,赢得一场足球比赛的胜利,每个位置都有着每个位置的作用,后卫的作用主要是防守住对方的进攻,抢劫、拦断对方的足球,从而帮助队员进球,直至获得一场比赛的胜利,今天为大家带来英国的强力后卫排名,一起来看看吧~1.范迪克范迪克的全名叫菲尔吉尔·范戴克,于1991年7月8日出生于荷兰,是荷兰的前足球运动员,后续加入到利物浦足球俱乐部,帮助利物浦足球俱乐部获得了大大小小的奖项,自己也因此获得了PFA和英超官方双料最佳球员。2.拉波尔特拉波...

    2022-08-23 英国后卫十大
  • 郑州10大经典美食汇总,郑州美食排名前十的是哪些(附2023年最新排名前十名单)
    郑州10大经典美食汇总,郑州美食排名前十的是哪些(附2023年最新排名前十名单)

    盘点郑州美食排名前十:合记羊肉烩面、葛记焖饼、郑州烩面、萧记三鲜烩面、三鲜伊面、蔡记蒸饺、方中山胡辣汤、登封烩羊肉、巩义老君烧鸡、回郭镇肉合。本期我们就来深扒郑州的十大美食,让你不...

    2022-12-13 郑州的是前十
  • 中国漂亮学生妹排名​,第一名“奶茶妹妹”实至名归(附2022最新排名前十名单)
    中国漂亮学生妹排名​,第一名“奶茶妹妹”实至名归(附2022最新排名前十名单)

    这个世界上,长得好看的女生有很多,特别是在学生时期,没有浓妆淡抹,只有纯天然的长相,所以学生时期经常会有很多女神存在,那么你知道哪些比较出名的学生妹吗,让我们来看一看吧。10、侯雨涵不知道大家知不知道这个妹子,是民族大学的学生,长得特别可爱,而且有一种民族风格,让人看了就特别喜欢。 9、刘孟姗她上的大学并不出名,但是她却因为长得好看而走红,而且声音还很甜美。是典型的台湾美女。 8、王天歌听这个名字就是比较大气优秀的,确实她的文化水平比较高,在学校的颜值也可以排到前几名。 7、景甜这个你们应该不陌生吧,虽然...

    2022-12-06 实至名归奶茶中国
  • aso优化工具有哪些,aso优化的7大工具?(附2023年最新排名前十名单)
    aso优化工具有哪些,aso优化的7大工具?(附2023年最新排名前十名单)

    工欲善其事,必先利其器,意思就是工匠想要使他的工作做好,一定要先让工具锋利。比喻要做好一件事,准备工作非常重要。同样的,如果要做一名优秀的ASO优化师,各项准备工作一定要在产品上架...

    2022-12-10 前十最新排名优化工具
  • seo的工具有哪些,seo的5大工具汇总?(附2023年最新排名前十名单)
    seo的工具有哪些,seo的5大工具汇总?(附2023年最新排名前十名单)

    谷歌SEO工作者经常需要一些SEO工具的辅助,比如网站收录查询、PR查询等等,以便节省自己的时间,让SEO变得更加轻松。那么,常用的谷歌SEO工具都有哪些呢?今天就分享一些亲测常用...

    2022-12-10 工具前十最新排名
  • 历届亚洲足球先生名单(完整版)(附2022最新排名前十名单)
    历届亚洲足球先生名单(完整版)(附2022最新排名前十名单)

    亚洲足球先生(Asian Footballer of the Year)自1984年开始颁发给年度表现佳的亚洲足球运动员,是亚洲足联每年一度的颁奖典礼中重要奖项之一。然而,由于缺席者失去获奖资格,使得奖项事实上只会由效力亚洲球会的球员获得,令此奖项的含金量受质疑。年度球员名称国籍球会1984年马吉德沙特阿拉伯-1985年崔淳镐韩国-1986年李泰镐韩国-1987年拉迪伊拉克-1988年艾哈迈德·拉迪伊拉克Al-Karkh1989年金铸城韩国大宇皇家1990年金铸城韩国大宇皇家1991年金铸城...

    2022-11-08 名单亚洲完整版
  • 小红书网页版网址为何如此神奇?,小红书网页版网址(附2023年最新排名前十名单)
    小红书网页版网址为何如此神奇?,小红书网页版网址(附2023年最新排名前十名单)

    小红书从2013年创立至今,将近5年时间,随着市场的变化以及自身的发展,从最初的出境购物社区逐步过渡到现在的社区电商平台。小红书的slogan也在随着时间发生变化。从2014年的“...

    2022-12-10 书网小红网址
  • 怎么让淘宝店家扣分,淘宝店铺可以扣多少分(附2023年最新排行榜前十名单)
    怎么让淘宝店家扣分,淘宝店铺可以扣多少分(附2023年最新排行榜前十名单)

    在淘宝平台开店需要遵守规则。一旦你违反了规则,你就会受到惩罚。如果违规,将受到降级、扣分的处罚。如果你关闭店铺,你将受到不同违规行为的处罚。淘宝店铺会被罚多少分?具体规则大家一起学...

    2022-12-06 淘宝店家前十