靶场科普 | sql注入绕过云锁

发表时间:2021-11-01 11:18

本文由“东塔网络安全学院”总结归纳


靶场介绍:

sql注入绕过云锁

靶场科普 | sql注入绕过云锁


今天,给大家介绍一下“东塔攻防世界”其中的一个靶场:“sql注入绕过云锁”。


一、实验介绍

1.SQL介绍

SQL注入就是前端输入的位置是用户可控的,可以通过插入一些恶意的sql语句来传到后台加以执行,达到获取敏感信息的攻击目的

2.绕过方式

大小写绕过、内联绕过方式、双层标签绕过等等

靶场科普 | sql注入绕过云锁


二、实验目的

1.掌握SQL的注入原理和利用方式

2.了解SQL绕过安全狗的方式

3.掌握SQL的防御方法


三、实验步骤

1.打开实验环境

2.利用SQL的注入方式进行漏洞探测


四、防御方式

1.改成纯前端渲染,把代码和数据分隔开

2.对HTML做充分转义

3.使用预编译功能

4.mysql_real_escape_string()作为用户输入的包装器,就可以避免用户输入中的恶意sql注入