第5讲 sql注入.pptx

SQL 注入;什么是SQL注入;为什么会存在SQL注入;存在SQL漏洞的危害;如何测试是否存在Sql注入;实例;在1的后面输入单引号;Sql正常语句被人为制造了错误;结论，开始攻击;;结论，开始攻击;;结论，开始攻击;;结论，开始攻击;页面输出正常，说明and后面的表达式为真，说明是系统管理员;结论，开始攻击;Sqlserver的dbo就是sa;结论，开始攻击;;结论，开始攻击;结论，开始攻击;结论，开始攻击;猜user，出错不对;猜users，出错不对;猜users，出错不对;猜用户表，出错不对;猜账户，没出错，太好了，猜中了;猜账户，没出错，太好了，猜中了;;猜password，失败;猜pwd，失败;猜密码，成功;;猜内容的长度;长度1，页面正常，继续;长度1，页面正常，继续;长度2，页面正常，继续;长度3，页面正常，继续;长度4，页面正常，继续;长度5，页面正常，继续;长度6，页面变化了，结束;;;如何逐步缩小范围;判断ASCII码是否大于47，也就是0以上的字符，页面正常，说明是0以上;判断ASCII码是否大于48，也就是1以上的字符，页面正常，说明是1以上;判断ASCII码是否大于49，也就是2以上的字符，页面不正常说明是2以下;;猜完密码，请验证 4/sql/login.asp;URL编码部分对照表;高级SQL注入;;;高级SQL注入;;;;用张三登录，密码123456;这个服务器已经被攻破了;你可以像操作自己的计算机一样操作别人的服务器了;