友基科技网站sql注入漏洞

最新推荐文章于 2025-06-26 22:28:05 发布
最新推荐文章于 2025-06-26 22:28:05 发布
阅读量108 收藏
点赞数
CC 4.0 BY-SA版权
文章标签: 数据库 python 操作系统
原文链接:https://my.oschina.net/u/147181/blog/164801
本文介绍了一种通过在URL参数后添加特殊字符来探测SQL注入漏洞的方法,并利用sqlmap工具进行进一步验证的过程。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

2019独角兽企业重金招聘Python工程师标准>>> hot3.png

       虽然现在sql注入不像以前那么常见,但是在一些中小型网站还是会存在。如该网站某URL如图:
28005351_uywN.jpg
最简单的探测sql注入漏洞的方法,就是在参数后,即332后加一个英文单引号',观察程序反应,如果产生错误log,说明有可能存在sql注入漏洞。该网站反应如图:
28005352_KMkd.jpg
直接把后台报错打印了出来,该条报错说明后台数据库有可能是微软的ACCESS,如果还想继续验证可以将332改成330+2,不过330+2要经过url编码,即330%2b2,如果返回界面相同就说明存在漏洞,如果想手动探测数据库名、表名、字段名和数据,可以试着自己拼一下各种sql命令。
这里我用的sqlmap工具,sqlmap是用python写的,由于是解释性语言,可以各种跨平台,linux下默认安装了该工具,以backtrack 5为例。首先探测数据库名,如截图:
28005353_rBJa.jpg
结果显示确实有sql注入漏洞,后台数据库是access,不过没有探测到数据库名。然后直接探测表名,如截图:
28005353_SF7j.jpg
探测到数据库名,枚举出两个表名。然后探测列名、数据下载等等都可以用sqlmap实现。sqlmap使用参见:Backtrack 命令解析(information gathering)
PS:本文章只为学习讨论,禁止根据本文做破坏性动作。本文由youthflies发表在易踪网,地址:http://www.yeetrack.com/?p=216

转载于:https://my.oschina.net/u/147181/blog/164801

网站SQL注入漏洞原理及解决办法
网络蚂蚁
10-26 3015
前段时间拿网站天气预报15天查询(http://tqybw.net)到360网站全检测,发现问题很严重,存在SQL注入漏洞,后来逐个排查,确保网站安全! 以下是网站SQL注入漏洞原理及解决办法,希望广大web开发人员注意和学习! 目标存在SQL注入漏洞。 1.SQL注入攻击就是攻击者通过欺骗数据库服务器执行非授权的任意查询过程。 2. SQL注入攻击就其本质而言,它利用
驱动程序
04-01
1. 下载:从官方网站或者其他可信来源下载对应型号手写板的最新驱动程序,确保与您的操作系统兼容。 2. 解压:将下载的压缩包文件解压,通常会得到一个包含安装程序的文件夹。 3. 安装:运行安装程序,按照...
手写板驱动 v1.4.0 最新版
07-11
手写板驱动是一款比较常用的手写板驱动工具,可快速连接手写板工具,手写参数设置调节绘图信息传输导入等多种功能。快下载体验吧!手写板驱动功能1.鼠标功能:压感笔可以完全取代鼠标以控制计算机屏幕上的...
cv720数位板驱动
07-14
cv720是一款高级的电脑绘图板,而cv720驱动就是此款产品的专用驱动程序,使用此绘图板必须安装此驱动,相信广大的用户都需要下载此驱动吧,现小编为用户提供cv720驱动下载,欢迎下载!操作指南解压软件包...
数位板驱动(win7系统).zip
09-15
数位板驱动是专为品牌的手写板设计的一款驱动程序,主要适用于Windows 7操作系统。在数字化创作领域,数位板因为其高精度和压感特性,已经成为设计师、插画师以及漫画爱好者的必备工具。作为国内知名的...
绘影ii pf8080驱动 v5.02 官方版
07-11
绘影II PF8080是一款专为专业绘画爱好者和设计师设计的手写板,其驱动程序是确保该设备在计算机上正常运行的关键组成部分。官方版的PF8080驱动版本v5.02是针对该型号产品进行优化的软件,能够提供稳定的操作...
【项目经验】使用 Docker 配置环境
冠位优化
06-23 688
使用 Docker 配置环境,相关问题的解决方案。
软考高级系统架构设计师备考计划(嵌入式工程师专版)
bifudoph的博客
06-24 797
本文为嵌入式工程师量身定制了系统架构设计师5-6个月的备考计划。计划分为四个阶段:础巩固(1.5个月)、核心突破(2个月)、专题强化(1.5个月)和冲刺模考(1个月),强调将嵌入式经验(如硬件架构、实时系统)转化为架构设计优势。提供了详细的学习内容、时间分配、实战案例及嵌入式关联强化方法,包括论文选题方向、答题模板和应试技巧。特别推荐嵌入式相关学习资料和工具,建议通过项目案例结合架构理论进行备考,最后给出进度跟踪表和考前准备指南。
odoo17 激活开发者模式
fqfq123456的专栏
06-25 287
Odoo17激活开发者模式方法: URL添加?debug=1(推荐) 用户菜单手动勾选开发者模式 命令行设置系统参数(需管理员权限) 激活成功后会出现🐛图标和Debug标识,可获得技术菜单权限。注意生产环境禁用此模式以防数据泄露,通过点击虫子图标可快速切换调试状态。
在Windows上配置MySQL远程访问用户及权限的完整指南
m0_58530495的博客
06-24 778
本文详细介绍了在Windows系统配置MySQL远程访问的完整流程:首先以管理员身份登录MySQL,创建特定IP限制的远程用户并授予精细化权限;然后修改配置文件(my.ini)解除本地绑定限制,重启服务;接着配置防火墙开放3306端口;最后通过命令行和图形工具测试连接。文章特别强调安全实践,包括IP限制、最小权限原则、SSL加密等防护措施,并提供了常见问题解决方案。整个流程兼顾便捷性与安全性,适合开发和运维场景使用。
python测试温度传感器写入数据库
06-22 508
测试数据库写入功能,可以用随机数生成模拟温度数据。'%H:%M:%S'
LLM复杂记忆存储-多会话隔离案例实战
最新发布
猫步轻移,以学求知。余于此方寸之地,如猫观鼠,细察技艺所得,思维所悟。灵思如猫之警觉,日积月累,终成智海;
06-26 506
在多用户并发的对话系统中,会话隔离问题往往成为开发者面临的技术难题。当数千个用户同时与AI助手交互时,如何确保每个用户的对话历史完全独立,避免数据混淆和隐私泄露? 本文深入剖析了于RunnableWithMessageHistory的多会话隔离技术方案。通过详细的代码实现和案例分析,展示了如何构建稳定可靠的会话管理机制。文章不仅提供了完整的技术实现代码,更重要的是揭示了会话隔离背后的核心设计思路——于唯一会话标识符的隔离架构。 读者将学会处理智能客服系统中的数据混淆风险,掌握在线教育平台的个性化会话管理
Linux - firewall
weekeight
06-25 481
使用 `firewall-cmd` 管理 Linux 防火墙的实用指南
测试用例之翻页功能详解
HUACE0047的博客
06-25 632
所有用例都要看具体的需求,本文提供的只是一个比较常用的测试设计,学东西应该是取其精华才对.比如STEP12就有不值得取的地方("提示":以什么做提示呢?这些资料,对于做【软件测试】的朋来说应该是最全面最完整的备战仓库,这个仓库也陪伴我走过了最艰难的路程,希望也能帮助到你!2、下一页可点击,从(每页指定条数+1)条记录开始显示,当前页数+13、上一页变灰不可点击。2、指定每页的条数后,列表显示的记录数,页数是否正确。6、首页可点击,显示1到每页指定条数的记录。1、首页可点击,显示1到每页指定条数的记录。
从零开始的云计算生活——第二十四天,重起航帆,初见MySQL数据库
Britz_Kevin的博客
06-26 370
数据库(Database)简称DB,按照一定格式存储数据的一些文件的组合,顾名思义就是存储数据的仓库,实际上就是一堆文件。这些文件中存储了具有特定格式的数据。数据库管理数据有诸多优点,如降低存储数据的冗余度,存储的数据可以共享,便于维护数据完整性,能够实现数据的安全性等。数据库的发展经历了萌芽、初级、中级、和高级阶段。数据库管理系统(DateBase Management System)
LlamaIndex础概念与核心架构
分享一些感兴趣的技术方面
06-26 762
LlamaIndex是一个专为大语言模型设计的数据框架,旨在解决LLM与外部数据连接的"最后一公里"问题。它通过数据连接器、智能索引和查询引擎三大核心组件,提供了统一的数据接口和自然语言查询能力。相比传统搜索引擎和数据库,LlamaIndex结合了语义搜索与LLM的理解能力,支持实时交互和RAG(检索增强生成)技术,让用户可以自然语言获取最新、专业的回答。在Node.js环境中,其异步处理特性尤其适合处理高并发的数据索引和查询任务。LlamaIndex降低了AI应用开发门槛,实现了知识时
Alembic迁移系统初始化实战教程
醒途
06-25 258
这篇教程详细介绍了如何于Alembic+SQLAlchemy+Pydantic搭建数据库迁移系统。主要内容包括:安装必要库并初始化Alembic;通过.env文件安全配置数据库连接;使用Pydantic验证配置;修改env.py加载元数据和连接URL;生成和执行迁移脚本;常用迁移命令及生成离线SQL文件的方法。教程提供了完整的目录结构和最佳实践建议,如自动生成迁移脚本后需审核SQL、使用Git SHA或时间戳标识版本号等。该系统适合项目初期搭建或团队规范流程参考,确保数据库变更安全可控。
【附源码】旅游网站系统设计与实现+SpringBoot + Vue (前后端分离)
吉他程序员的博客
06-26 299
整个系统分为 “管理员” , “用户”,二大角色。管理员可以进行“景点管理”,“旅游路线管理”,“车票管理”,“美食管理”,“酒店管理”,用户可以查看景点,美食,酒店,还可以进行预定。
Spring JDBC 事务
m0_61261153的博客
06-22 421
/ 转账方法。
S1.3.2驱动程序安装包
标题《Driver_S1.3.2.zip》表明此压缩包内含有与“驱动”相关的文件,具体版本号为“S1.3.2”。压缩包的文件名通常用于软件或驱动程序的更新、安装或备份,其中的数字部分往往代表了版本迭代,显示该驱动程序是...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值