黑防脚本课程6.pptVIP

黑客防线vip入侵 第六讲：acc数据库注入演示 学习目的 了解什么是注入 学会常用的注入工具 学会注入获取管理员帐号密码 什么是注入 随着B/S模式应用开发的发展，使用该模式编写程序的程序员越来越来越多，但是由于程序员的水平参差不齐，相当大一部分应用程序存在安全隐患。用户可以提交一段数据库查询代码，根据程序返回的结果，获得某些他想要知的数据，这个就是所谓的SQLinjection，即sql注入式攻击 脚本注入攻击者把SQL命令插入到WEB表单的输入域或页面请求的查询字符串,欺骗服务器执行恶意的SQL命令,在某些表单中,用户输入的内容直接用来构造动态的SQL命令,或作为存储过程的输入参数，从而获取想得到的密码或其它服务器上的资料 注入工具 Nbsi：老牌的注入工具对asp注入非常强 啊d：个人感觉对于批量找注入点比较实用 明小子：旁注入强悍工具 Hdsi：注入语句都转码，php注入是个亮点 非常猜解：搜索型注入工具 Pangolin：新出的还没怎么测试但是感觉界面比较美观，对asp注入的速度还有待提高，听说对php注入效果比较好 实践注入工具 用一个源代码注入演示来进入后台 * * *