5分钟学会SQL注入.ppt

5分钟学会SQL注入攻击 思考：防火墙能防御SQL注入攻击吗？为什么？ SQL注入攻击原理 SQL注入攻击原理 SQL注入攻击方法（一） SQL注入攻击方法（二） SQL注入攻击方法（二） 实战SQL注入攻击（一） 实战SQL注入攻击（二） 实战SQL注入攻击（三） 实战SQL注入攻击（四） 实战SQL注入攻击（五） 思考：防火墙能防御SQL注入攻击吗？为什么？ 小结 SQL注入攻击的原理 SQL注入攻击的方法 实战SQL注入攻击 * 掌握SQL注入攻击原理 掌握SQL注入攻击方法 实战SQL注入攻击 课程目标 学习完本课程，您应该能够： 内网 Internet WEB服务器 SQL注入攻击原理 SQL注入攻击方法 实战SQL注入攻击 目录 访问/showdetail.asp?id=49时，在地址后面加上单引号’，服务器会返回下面的错误提示： Microsoft JET Database Engine 错误 80040e14 字符串的语法错误 在查询表达式 ‘ID=49’‘ 中。 /showdetail.asp，行8　 访问/showdetail.asp?id=49时，在地址后面加上单引号’，服务器会返回下面的错误提示： Microsoft JET Database Engine 错误 80040e14 字符串的语法错误 在查询表达式 ‘ID=49’‘ 中。 /showdetail.asp，行8　 SQL注入攻击原理 SQL注入攻击方法 实战SQL注入攻击 目录 认识注入类型 不管是asp.aspx.php,注入的标准类型必为 /aa.asp?p=xxx /aa.aspx?p=xxx /aa.php?p=xxx 判断是否存在注入 不管是asp.aspx.php,注入点的判断都是这样的 http://xxx.xxx.xxx.xxx/down/show.php?id=26 and 1=1返回正常页 http://xxx.xxx.xxx.xxx/down/show.php?id=26 and 1=2,返回错误页 判断是否存在注入 不管是asp.aspx.php,注入点的判断都是这样的 http://xxx.xxx.xxx.xxx/down/show.php?id=26 and 1=1返回正常页 http://xxx.xxx.xxx.xxx/down/show.php?id=26 and 1=2,返回错误页 SQL注入攻击原理 SQL注入攻击方法 实战SQL注入攻击 目录 内网 Internet WEB服务器 * ＳＱＬ注入是从正常的WWW端口访问，而且表面看起来跟一般的Web页面访问没什么区别，所以目前市面的防火墙都不会对ＳＱＬ注入发出警报，如果管理员没查看IIS日志的习惯，可能被入侵很长时间都不会发觉。 * * * * ＳＱＬ注入是从正常的WWW端口访问，而且表面看起来跟一般的Web页面访问没什么区别，所以目前市面的防火墙都不会对ＳＱＬ注入发出警报，如果管理员没查看IIS日志的习惯，可能被入侵很长时间都不会发觉。 ＳＱＬ注入是从正常的WWW端口访问，而且表面看起来跟一般的Web页面访问没什么区别，所以目前市面的防火墙都不会对ＳＱＬ注入发出警报，如果管理员没查看IIS日志的习惯，可能被入侵很长时间都不会发觉。