科技时代新浪首页 > 科技时代 > 学园 > 正文

网管必读 从手工注入看防御之Access篇


http://www.sina.com.cn 2006年04月13日 15:17 天极yesky

  作者:东狂(原创)

  很多情况下,入侵者在使用工具注入时发现工具才解不出来表名和字段名,那是因为所有的工具都有自己的一部字典,这部字典内包括了表名和字段名,如果管理员把表名和字段名改成了不在这部字典内,那么我们使用的工具将无法猜解出字段名和表名。在以下的文章中,将从分析手工注入出发,来打造抵御SQL注入的防线。

  入侵者将会构造简单的判断条件,来判断该页面是否存在注入漏洞,一般步骤如下:

  这里要检测的页面为http://127.0.0.1/111/view.asp?id=198

  1.入侵者要想对站点进行手工注入就必须对浏览器进行设置,以保证手工注入时能返回出错信息,其操作步骤如下:

  右键点击浏览器选择“属性”,在弹出来的对话框中选择“高级”选项卡。如下图所示:

网管必读从手工注入看防御之Access篇

图一 在弹出来的对话框中选择“高级”选项卡

  接着去掉“显示友好的HTTP错误信息”前面的钩,最后点击“应用”按钮即可。

  2.入侵者向浏览器提交如下url:

  http://127.0.0.1/111/view.asp?id=198 and 1=1

  如果存在SQL注入漏洞,就可以查询数据库,1=1是一个恒等式可以忽略,因此会返回一个正常的页面,此页面和http://127.0.0.1/111/view.asp?id=198一样,这时入侵者便判断此站有希望被注入。如果返回的是一些错误信息,那么一些初级的入侵者可能就会放弃这个站点。

 [1] [2] [下一页]

发表评论

爱问(iAsk.com) 相关网页共约6,210,000篇。



评论】【论坛】【收藏此页】【 】【多种方式看新闻】【下载点点通】【打印】【关闭




科技时代意见反馈留言板 电话:010-82628888-5595   欢迎批评指正

新浪简介 | About Sina | 广告服务 | 联系我们 | 招聘信息 | 网站律师 | SINA English | 会员注册 | 产品答疑

Copyright © 1996 - 2006 SINA Corporation, All Rights Reserved

新浪公司 版权所有