TDS防SQL脚本注入攻击测试.docVIP

TDS防SQL注入或脚本攻击测试 一、大秦TDS防SQL注入测试结构 大秦TDS防SQL注入测试结构由TDS系统、1台Web服务器、1台管理控制终端、1台攻击终端和互联网环境组成.网络结构图如下： 其中Web服务器(192.168.254.92存在2种web使用,一种是“大秦TDS系统防SQL注入模拟Web服务器”,访问网址是：；一种是“大秦TDS防SQL注入测试网站”,访问网址是：.大秦TDS系统防SQL注入模拟Web服务器是种bbs论坛,通过各种SQL注入,普通注册用户能够跳过用户名密码检测获取论坛用户数据,同时通过发帖挂上恶意脚本,获取访问者地cookies信息和将访问者访问页面定向指定地url等恶意行为.首页显示如下图： 大秦TDS防SQL注入测试网站是种模拟在线远程教育网站,访问者可以通过构造脚本作为url地址,获取目标服务器地操作系统类型、数据库类型等资源信息.首页显示如下图： 二、TDS防SQL脚本注入攻击测试用例 2.1 跳过用户名密码登陆验证地SQL注入 2.1.1没有TDS保护情况下地SQL注入 A,使用正确地用户名和密码正常登陆； 使用正确地用户名和密码可以正常登陆. B,使用不正确地用户名或密码登陆； 错误地用户名或密码验证失败. C,使用带SQL语句地用户名和任意密码登陆(包括空密码； 空密码登陆： 使用带SQL语句地用户名和空密码可以登陆. 非空密码登陆