没有合适的资源?快使用搜索试试~ 我知道了~
课程11-Web应用的攻击及防御技术(下)1
需积分: 0 0 下载量 11 浏览量
2022-08-03
13:56:43
上传
评论
收藏 845KB PDF 举报
温馨提示
试读
38页
1. Web应用程序体系结构及其安全威胁 2. Web应用安全攻防技术概述 4. 课堂实践:具体SQL注入漏洞测试 5. XSS跨站脚本攻击 6. 课外实践作业
资源详情
资源评论
资源推荐
2011年3月6日 网络攻防技术与实践课程
Copyright (c) 2008-2009 诸葛建伟
1
诸葛建伟
zhugejw@gmail.com
网络攻防技术与实践课程
课程11. Web应用安全攻防技术(下)
2011年3月6日 网络攻防技术与实践课程
Copyright (c) 2008-2009 诸葛建伟
2
内容
1. Web应用程序体系结构及其安全威胁
2. Web应用安全攻防技术概述
3. SQL注入
4. 课堂实践:具体SQL注入漏洞测试
5. XSS跨站脚本攻击
6. 课外实践作业:SEED SQL注入攻击
实验 | SEED XSS攻击实验
代码注入攻击
代码注入攻击
Web应用程序的输入验证不完善漏洞
执行由攻击者所注入的恶意指令和代码
敏感信息泄露、权限提升或对系统的未授权访问
多样化的代码注入攻击类型
SQL注入攻击:恶意读取、修改与操纵数据库;
PHP注入或ASP注入攻击:植入和运行
Webshell
Shell注入攻击:恶意执行操作系统命令的;
其他多样化注入攻击:LDAP注入、邮件命令注入、SSI
注入、XPath注入、XML注入、XQuery注入等
2011年3月6日 网络攻防技术与实践课程
Copyright (c) 2008-2009 诸葛建伟
3
2011年3月6日 网络攻防技术与实践课程
Copyright (c) 2008-2009 诸葛建伟
4
SQL注入攻击 (SQL Injection)
SQL注入攻击对Web应用程序的威胁
相当大部分Web应用程序使用后台数据库,动态产
生内容
SQL注入攻击: 利用Web应用程序数据层存在的输
入验证不完善型安全漏洞实施的一类代码注入攻击
技术。
SQL注入漏洞机制
用户输入没有被正确地过滤:转义字符(引号、反引
号、双下划线、分号、百分号)
没有进行严格类型检查:未判断输入是否预定类型
SQL注入攻击原理
表示层:表单或URL输入参数 用户输入
业务逻辑层:通过用户输入参数构造SQL语句
不完善的输入验证机制
数据层:通过数据连接执行SQL语句
触发恶意数据库操作
2011年3月6日 网络攻防技术与实践课程
Copyright (c) 2008-2009 诸葛建伟
5
剩余37页未读,继续阅读
魏水华
- 粉丝: 14
- 资源: 282
上传资源 快速赚钱
- 我的内容管理 展开
- 我的资源 快来上传第一个资源
- 我的收益 登录查看自己的收益
- 我的积分 登录查看自己的积分
- 我的C币 登录后查看C币余额
- 我的收藏
- 我的下载
- 下载帮助
安全验证
文档复制为VIP权益,开通VIP直接复制
信息提交成功
评论0