信息安全試題 什么是sql注入漏洞
SQL注入漏洞有什么特點(diǎn)?
1、廣泛性:任何一個基于SQL語言的數(shù)據(jù)庫都可能被攻擊,很多開發(fā)人員在編寫Web應(yīng)用程序時未對從輸入?yún)?shù)、Web表單、Cookie等接受到的值進(jìn)行規(guī)范性驗(yàn)證和檢測,通常會出現(xiàn)SQL注入漏洞。
2、隱蔽性:SQL注入語句一般都嵌入在普通的HTPP請求中,很難與正常語句區(qū)分開,所以當(dāng)前許多防火墻都無法識別予以警告,而且SQL注入變種極多,攻擊者可以調(diào)整攻擊的參數(shù),所以使用傳統(tǒng)的方法防御SQL注入效果非常不理想。
3、危害大:攻擊者可以通過SQL注入獲取到服務(wù)器的庫名、表名、字段名,從而獲取到整個服務(wù)器中的數(shù)據(jù),對網(wǎng)站用戶的數(shù)據(jù)安全有極大的威脅。攻擊者也可以通過獲取到的數(shù)據(jù),得到后臺管理員的密碼,然后對網(wǎng)頁頁面進(jìn)行惡意篡改。這樣不僅對數(shù)據(jù)庫信息安全造成嚴(yán)重威脅,對整個數(shù)據(jù)庫系統(tǒng)安全也有很大的影響。
4、操作方便:互聯(lián)網(wǎng)上有很多SQL注入工具,簡單易學(xué)、攻擊過程簡單,不需要專業(yè)的知識也可以自如運(yùn)用。
SQL是操作數(shù)據(jù)庫數(shù)據(jù)的結(jié)構(gòu)化查詢語言,網(wǎng)頁的應(yīng)用數(shù)據(jù)和后臺數(shù)據(jù)庫中的數(shù)據(jù)進(jìn)行交互時會采用SQL。
SQL注入,就是通過把SQL命令插入到Web表單遞交或輸入域名或頁面請求的查詢字符串,最終達(dá)到欺騙服務(wù)器執(zhí)行惡意的SQL命令。它是利用現(xiàn)有應(yīng)用程序,將惡意的SQL命令注入到后臺數(shù)據(jù)庫引擎執(zhí)行的能力,它可以通過在Web表單中輸入SQL語句得到一個存在安全漏洞的網(wǎng)站上的數(shù)據(jù)庫,而不是按照設(shè)計(jì)者意圖去執(zhí)行SQL語句。
SQL注入漏洞特點(diǎn)如下:
1、廣泛性:任何一個基于SQL語言的數(shù)據(jù)庫都可能被攻擊,很多開發(fā)人員在編寫Web應(yīng)用程序時未對從輸入?yún)?shù)、Web表單、Cookie等接收到的值進(jìn)行規(guī)范性驗(yàn)證和檢測,通常會出現(xiàn)SQL注入漏洞。
2、隱蔽性:SQL注入語句一般都嵌入在普通的HTPP請求中,很難與正常語句區(qū)分開,所以當(dāng)前許多防火墻都無法識別予以警告,而且SQL注入變種極多,攻擊者可以調(diào)整攻擊的參數(shù),所以使用傳統(tǒng)的方法防御SQL注入效果非常不理想。
3、危害大:攻擊者可以通過SQL注入獲取到服務(wù)器的庫名、表名、字段名,從而獲取到整個服務(wù)器中的數(shù)據(jù),對網(wǎng)站用戶的數(shù)據(jù)安全有極大的威脅。攻擊者也可以通過獲取到的數(shù)據(jù),得到后臺管理員的密碼,然后對網(wǎng)頁頁面進(jìn)行惡意篡改。這樣不僅對數(shù)據(jù)庫信息安全造成嚴(yán)重威脅,對整個數(shù)據(jù)庫系統(tǒng)安全也有很大的影響。
4、操作方便:互聯(lián)網(wǎng)上有很多SQL注入工具,簡單易學(xué)、攻擊過程簡單,不需要專業(yè)的知識也可以自如運(yùn)用。
相關(guān)評說:
洪湖市廣義: ______ 是指: sql="select * from pass where username='" & request("user") & "' and password ='" & request("password") & "'"
洪湖市廣義: ______ 原理 SQL注入攻擊指的是通過構(gòu)建特殊的輸入作為參數(shù)傳入Web應(yīng)用程序,而這些輸入大都是SQL語法里的一些組合,通過執(zhí)行SQL語句進(jìn)而執(zhí)行攻擊者所要的操作,其主要原因是程序沒有細(xì)致地過濾用戶輸入的數(shù)據(jù),致使非法數(shù)據(jù)侵入系統(tǒng)...
洪湖市廣義: ______ 引 言 隨著B/S模式應(yīng)用開發(fā)的發(fā)展,使用這種模式編寫應(yīng)用程序的程序員也越來越多.但是由于這個行業(yè)的入門門檻不高,程序員的水平及經(jīng)驗(yàn)也參差不齊,相當(dāng)大一部分程序員在編寫代碼的時候,沒有對用戶輸入數(shù)據(jù)的合法性進(jìn)行判斷,使應(yīng)...
洪湖市廣義: ______ 所謂SQL注入式攻擊,就是攻擊者把SQL命令插入到Web表單的輸入域或頁面請求的查詢字符串,欺騙服務(wù)器執(zhí)行惡意的SQL命令.在某些表單中,用戶輸入的內(nèi)容直接用來構(gòu)造(或者影響)動態(tài)SQL命令,或作為存儲過程的輸入?yún)?shù),這類表...
