大学课程《电力行业信息安全与攻防技术》教学PPT课件：[3.3.4]宽字节注入.pptxVIP

宽字节注入

任务导入任务目标任务讲解任务总结

宽字节注入

宽字节注入当Web应用程序为支持多语言环境而采用GBK等宽字符编码时，攻击者可能利用编码转换的漏洞绕过安全防护。

任务导入任务目标任务讲解任务总结

知识目标能力目标素养目标掌握宽字节注入的攻击原理能够复现SQL-LABS中的宽字节注入案例在技术实践中深化安全意识

任务导入任务目标任务讲解任务总结

什么是宽字节呢？一个字符的大小是一个字节的，称为窄字节一个字符的大小是两个字节的，称为宽字节

Shift_JISBIG5GB18030GBKGB2312宽字节两字节英文默认占一个字节，中文占两个字节。

什么是宽字节注入呢？宽字节注入（Wide-ByteInjection）是一种特殊类型的注入攻击，主要针对使用特定字符编码的Web应用程序。

宽字节注入通过在用户输入中插入特定编码的恶意字符来欺骗应用程序应用程序构建错误的SQL查询语句或在查询条件中引入未预料的内容数据库执行恶意操作或泄露敏感数据应用程序在处理用户输入时解析出不同的字符。

SQL-LABSLess-32

SQL-LABSLess-32

SQL-LABSLess-321%dforderby3%23在单引号前加个%df

SQL-LABSLess-321%dforderby4%23

SQL-LABSLess-320%dfunionselect1,