安全测试:脚本攻击与SQL注入攻击
2015-06-02 17:15
232 查看
前者主要存在于web应用程序从用户处获取的输入,对输入的字符串没有进行验证就直接在web页面上显示了。如果是普通的字符串,则不会有任何问题,但如果是包含脚本的字符串,例如Javascript,则脚本会被目标浏览器解析,从而触发脚本的执行,完成恶意用户希望的功能,例如窃取Cookies,伪装用户与服务器交互。
后者产生的原因主要是因为程序接受用户界面的输入而没有进行验证,并且直接使用字符串连接的方式来组成SQL语句,提交到数据库服务器进行处理。如果恶意用户在界面输入的数据中嵌入的额外的SQL语句,也会一并提交到数据库执行,因此造成嵌入的恶意SQL语句的执行,例如数据篡改,绕过权限控制等等。
后者产生的原因主要是因为程序接受用户界面的输入而没有进行验证,并且直接使用字符串连接的方式来组成SQL语句,提交到数据库服务器进行处理。如果恶意用户在界面输入的数据中嵌入的额外的SQL语句,也会一并提交到数据库执行,因此造成嵌入的恶意SQL语句的执行,例如数据篡改,绕过权限控制等等。
相关文章推荐
- Oracle Study之-- enq:SQ contention等待事件
- SQL查询入门(上篇) 原理型
- mysql数据库中group by和sum一起使用语句的简单介绍 .
- 常用的MySQL数据类型
- 实现c# 直接连接Oracle数据库操作,不用安装各种插件
- 本地不安装oracle-client,使用pl/sql developer连接数据库
- 数据库加密技术的要点分析
- WINCE下使用SQLite数据库
- Oracle数据库Clob类型存储XML数据下节点内容查询
- SQLITE3 使用总结
- Oracle Study之--resmgr:cpu quantum等待事件
- PHP Memcached的扩展
- CDH5.3.2中配置运行Spark SQL的Thrift Server
- PHP中编译Memcached的扩展
- Memcached中的一些参数限制
- 【图】pd导出sql和mysql客户端导入sql文件时注意事项
- mysql中间件研究(Atlas,cobar,TDDL)[转载]
- Oracle Study之--resmgr:cpu quantum等待事件
- mysql备份和恢复
- 【解决】Mysql字符集问题