网络安全检测与防护技术
国家地方联合工程研究中心深圳分中心

靶场科普 | WAF绕过之SQL注入绕过安全狗

发表时间:2021-04-06 19:11
点击上方蓝字关注,更多惊喜等着你


本文由“网络安全检测与防护技术国家地方联合工程研究中心深圳分中心——东塔网络安全学院”总结归纳


靶场介绍

WAF绕过之SQL注入绕过安全狗


今天,给大家介绍一下“东塔攻防世界”其中的一个靶场:“WAF绕过之SQL注入绕过安全狗”。

一、实验介绍

1. SQL注入
SQL注入是网站存在最多也是最简单的漏洞,主要原因是程序员在开发用户和数据库交互的系统时没有对用户输入的字符串进行过滤,转义,限制或处理不严谨,导致用户可以通过输入精心构造的字符串去非法获取到数据库中的数据。

2. WAF工作原理
在实际的渗透测试过程中,经常会碰到网站存在WAF的情况。网站存在WAF,意味着我们不能使用安全工具对网站进行测试,因为一旦触碰了WAF的规则,轻则丢弃报文,重则拉黑IP。所以,我们需要手动进行WAF的绕过,而绕过WAF前肯定需要对WAF 的工作原理有一定的理解

1.png

二、实验目的

1.掌握sql注入的原理以及利用过程
2.掌握WAF原理以及绕过的方式


三、实验步骤

按照解题思路进行实践


四、防御方法

1.构造的sql语句时使用参数化形式而不使用拼接方式能够可靠地避免sql注入,主流的数据库和语言都支持参数化形式
2.拼接加对输入进行单引号和sql关键字过滤的方法也能在一定程度上防护sql注入
3.采用sql语句预编译和绑定变量
4.严格检查参数的数据类型,还有可以使用一些安全函数,来防止sql注入


速度登录https://labs.do-ta.com/ GET起来

现在注册,立得50积分哟 ✌


东塔网络安全学院在各大平台均上线了各项活动和学习内容,快快登录以下各大平台学习起来吧~


微博、腾讯课堂、知乎、今日头条、抖音号:

东塔网络安全学院

哔哩哔哩:东塔网络安全

了解更多活动和咨询欢迎微信添加:dongtakefu


插图5-客服小姐姐微信.jpg

-免费获取学习资料

电子书籍、试听课程-


插图18-东塔安全学员推文底图.png

点击蓝字
分享我们