常见漏洞攻防演练复盘笔记.docxVIP

常见漏洞攻防演练复盘笔记

1.漏洞：SQL注入（SQLInjection）

漏洞概述

攻击者通过在Web表单、URL参数或HTTP头中插入恶意SQL代码，欺骗应用程序执行非授权的数据库查询，从而非法获取或篡改数据。

漏洞描述

漏洞位置：登录页面的用户名输入框

攻击向量：OR1=1---

防御缺失：未对用户输入进行严格过滤，且未使用参数化查询

影响严重性

数据泄露（用户密码、个人信息）

数据篡改、删除

获取数据库权限

修复建议

输入验证：对所有用户输入进行白名单过滤，移除特殊字符

参数化查询：使用PreparedStatement或参数化查询语句

最小权限原则：数据库用户仅分配必要权限