|
|
域名空间 下载中心 社区论坛 信息公告 my小屋 | |
 |
联系我们 设为首页 加入收藏 |
 |
|
 |
首页 | 新闻资讯 | 编程开发 | 网页设计 | 图形图象 | 网络媒体 | 网站模板 | 数 据 库 | 投稿 论坛 | 操作系统 | 系统优化 | 网络安全 | 黑客技术 | 硬件学堂 | 硬件报价 | 服 务 器 | 地图 专题 | 应用软件 | 聊天通讯 | q q 专栏 | 建站经验 | 在线工具 | 站长club | 注 册 表 | 旧版 社会 | 游戏娱乐 | 设计欣赏 | 疑难解答 | 社区论坛 | 韩国素材 | 素材图库 | 广告服务 | 服务 |
 |
 |
 |
 当前位置:首页>>网络安全>>安全防范>>正文 |
新版上线![旧版] |  |
|||
注:打开慢时请稍等
asp注入漏洞全接触(1)http://www.iyit.net 日期:2006-5-29 14:13:25 来源:网络转载 点击: |
sql注入是从正常的www端口访问,而且表面看起来跟一般的web页面访问没什么区别,所以目前市面的防火墙都不会对sql注入发出警报,如果管理员没查看iis日志的习惯,可能被入侵很长时间都不会发觉。 但是,sql注入的手法相当灵活,在注入的时候会碰到很多意外的情况。能不能根据具体情况进行分析,构造巧妙的sql语句,从而成功获取想要的数据,是高手与“菜鸟”的根本区别。 根据国情,国内的网站用asp+access或sqlserver的占70%以上,php+mysq占l20%,其他的不足10%。在本文,我们从分入门、进阶至高级讲解一下asp注入的方法及技巧,php注入的文章由nb联盟的另一位朋友zwell撰写,希望对安全工作者和程序员都有用处。了解 asp注入的朋友也请不要跳过入门篇,因为部分人对注入的基本判断方法还存在误区。大家准备好了吗?let's go... 入门篇 如果你以前没试过sql注入的话,那么第一步先把ie菜单=>工具=>internet选项=>高级=>显示友好 http 错误信息前面的勾去掉。否则,不论服务器返回什么错误,ie都只显示为http 500服务器错误,不能获得更多的提示信息。 第一节、sql注入原理 以下我们从一个网站www.mytest.com开始(注:本文发表前已征得该站站长同意,大部分都是真实数据)。 在网站首页上,有名为“ie不能打开新窗口的多种解决方法”的链接,地址为:http://www.mytest.com/showdetail.asp?id=49,我们在这个地址后面加上单引号’,服务器会返回下面的错误提示: microsoft jet database engine 错误 '80040e14' 字符串的语法错误 在查询表达式 'id=49'' 中。 /showdetail.asp,行8 从这个错误提示我们能看出下面几点: 1. 网站使用的是access数据库,通过jet引擎连接数据库,而不是通过odbc。 2. 程序没有判断客户端提交的数据是否符合程序要求。 3. 该sql语句所查询的表中有一名为id的字段。 从上面的例子我们可以知道,sql注入的原理,就是从客户端提交特殊的代码,从而收集程序及服务器的信息,从而获取你想到得到的资料。 编辑:黑鹰 [发送给好友] [打印本页] [关闭窗口] [返回顶部] 上一篇:web环境下sql注入攻击的检测与防御 下一篇:asp注入漏洞全接触(2) 转载请注明来源:www.iyit.net 特别声明: 本站除部分特别声明禁止转载的专稿外的其他文章可以自由转载,但请务必注明出处和原始作者。文章版权归文章原始作者所有。对于被本站转载文章的个人和网站,我们表示深深的谢意。如果本站转载的文章有版权问题请联系编辑人员,我们尽快予以更正。 |
| 最新更新 | 热点排行 | 推荐新闻 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
|
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| 友情链接 | ||||||
 |
设置首 页 - 版权声明 - 广告服务 - 关于我们 - 联系我们 - 友情连接 |  |
| |||||||
易特网络技术