网络攻防测试——SQL注入

        SQL注入,由于程序在实际使用中,为了管理庞大的数据信息,就会使用到数据库。数据库可以方便程序对所有数据信息进行统一的存储和分类组织,便于查询更新。用户在使用程序时,程序可以自动通过对数据库的查询,将所获得的信息按照一定格式反馈给用户,同时用户也是通过交互式的对话框提交给程序数据,从而使程序按照用户想要的信息进行查询,反馈给用户想要的信息。

    网络安全攻击危险有:
一般入侵网络攻击扫描技术拒绝服务攻击技术缓冲区溢出后门技术
Sniffer技术病毒木马
网络安全技术,从代理服务器、网络地址转换、包过滤到数据加密防攻击,防病毒木马等等。

  故此我们进行了比较典型的SQL注入式测试,有以下目的:

§1、加强安全意识

§2、掌握专业知识

§3、提高动手实践能力

§4、理论与实践相结合

§5、分工合作,提高团队意识 

首先登录目标网页,点击教学团队选项

网络攻防测试——SQL注入

然后点击打开网页后,在地址栏添加命令union select 1,username,3,password,5 from admin where username=‘admin‘;

网络攻防测试——SQL注入

接着进入网页,此时网页显示出用户名为admin的密码

网络攻防测试——SQL注入

 

§复制该密码,在线查询md5码解密

网络攻防测试——SQL注入

 

§登录网址后台登录http://10.0.200.111/admin/admin.asp,输入账户密码

网络攻防测试——SQL注入

 

进入后台,在行业趋势栏添加内容

网络攻防测试——SQL注入

 

§回到首页,此时看见添加内容

网络攻防测试——SQL注入

测试完成

网络攻防测试——SQL注入

        以上就是此次测试的全过程以及当中的一些截图,此次测试仅为检查网站安全且测试网站为个人搭建在个人内网中的网站,非商业网站,希望各位读者不要随便利用SQL注入技术入侵他人网站,同时也希望这篇博文能带给大家帮助!谢谢!

本文出自 “一组” 博客,请务必保留此出处http://8828635.blog.51cto.com/8818635/1559424

网络攻防测试——SQL注入

上一篇:oracle数据库完全恢复和不完全恢复以及执行用户管理辈分恢复


下一篇:Mybatis学习笔记-动态SQL与模糊查询