安全渗透测试-sql注入

---

总目标：

1、sql注入介绍

2、web安全渗透测试分类

3、sql注入原理

4、sql注入危害

5、实现sql注入的方式

目标1：sql注入介绍

1、sql注入在安全问题中排行榜首

2、sql注入攻击是输入参数未经过过滤，然后拼接到sql语句中当中解析

3、sql注入是一种将sql代码添加到输入参数中，传递到服务器解析并执行的一种攻击手段

目标2：web安全渗透测试分类（常见）

1、web数据库安全（sql注入）

2、web应用服务器安全（文件上传漏洞、文件包含漏洞）

3、web客户端安全（XSS跨站攻击）

目标3：sql注入原理

1、攻击者在页面提交恶意字符

2、服务器未对提交参数进行过滤或者过滤不足

3、攻击者利用拼接sql语句获取数据库敏感信息

目标4：sql注入危害

1、获取web网站数据库

2、用户数据被非法买卖

3、危害web应用安全

目标5：sql注入实现方式

手工：

1、查找：注入点

2、注入：sql常用注入语法组合

自动：

1、工具：扫描注入点

2、注入：自动尝试各种语法组合