免费注册 查看新帖 |

Chinaunix

  澳门mgm官网 www.42588.com 澳门美高梅官网注册 文库
最近访问板块 发新帖
查看: 13841 | 回复: 3
打印 上一主题 下一主题

【有奖讨论】SQL注入的入门与实战,让sqlmap子弹飞一会儿 [复制链接]

www.42588.com徽章:
0
跳转到指定楼层
1 [收藏(0)] [报告]
发表于 2019-10-08 16:28 |只看该作者 |倒序浏览


话题背景:

      在全球安全社区OWASP所发布的年度TOP10安全问题中,数据库注入问题高居榜首。此类问题往往源自应用程序缺少对输入进行安全性检查,其会造成整个数据库的信息被窃取或被篡改。而通过SQL注入,安全破坏者甚至能够获得更多权利,乃至夺取管理员权限。
      Sqlmap作为行业最火热的SQL安全稳定性开源测试工具之一,其可以利用SQL注入漏洞,对于获取数据库中存储的数据,访问操作系统文件,甚至可以通过外带数据连接的方式执行操纵系统命令等进行自动化检测。

讨论内容:

1、sqlmap在网站开发与数据安全中的有哪些合理应用方式?
2、结合人工智能的sqlmap自动化的延展方向?
3、结合机器学习的sqlmap准确度如何提升?
4、sqlmap相关原理应用在数据库建设和数据安全中有哪些启示?

活动时间:

2019年10月8日-11月1日

活动奖励:

会选取5位讨论最精彩的小伙伴,各赠送《sqlmap,从入门到精通》图书首发礼包一份包含作者签名图书及精美书签
[size=14.6667px]图书介绍:
作者: 陈小兵,赵春,姜海,薛继东,黄电   
出版社:北京大学出版社
ISBN:9787301305584
出版日期:2019 年7月1日
开本:16开
页数:612页
版次:1-1
所属分类:计算机与互联网 > 计算机安全 > 综合
购买链接:


内容简介:

《sqlmap从入门到精通》从网络攻防实战的角度,对著名渗透必备工具 SQLMAP 进行全面系统的研究,由浅入深的介绍 SQLMAP 渗透需要了解和掌握的基础技术,然后根据针对 SQLMAP 用到的各种场景进行研究、分析和再现等,图文并茂地再现利用 SQLMAP 对 Web 等服务器进行渗透的各个维度,是目前市面上第一本系统全面研究 SQLMAP 图书。本书实用性和实战性强,可作为计算机本科或培训机构相关专业的教材,也可作为计算机软件工程人员的参考资料。

www.42588.com徽章:
3
季节之章:冬
日期:2015-01-15 10:36:57IT运维版块每日发帖之星
日期:2015-09-24 06:20:00IT运维版块每日发帖之星
日期:2015-10-24 06:20:00
2 [报告]
发表于 2019-10-09 08:41 |只看该作者
2019-10-09
   mark一下

www.42588.com徽章:
63
ChinaUnix元老
日期:2015-09-29 11:56:3019周年集字徽章-19
日期:2019-09-08 15:23:5619周年集字徽章-CU
日期:2019-09-23 13:32:15
3 [报告]
发表于 2019-10-10 09:37 |只看该作者
友情支持。期待大神观点

www.42588.com徽章:
7
2017金鸡报晓
日期:2017-01-10 15:13:2915-16赛季CBA联赛之天津
日期:2019-06-20 14:25:4015-16赛季CBA联赛之天津
日期:2019-08-20 23:06:5319周年集字徽章-庆
日期:2019-08-27 13:24:4219周年集字徽章-19
日期:2019-09-06 18:55:5019周年集字徽章-年
日期:2019-09-06 18:55:5019周年集字徽章-周
日期:2019-09-20 17:18:22
4 [报告]
发表于 2019-10-12 23:20 |只看该作者
1、sqlmap在网站开发与数据安全中的有哪些合理应用方式?
(1)检测网站与数据库是否对已知的SQL注入漏洞都已经堵上
(2)检测网站与数据库是否存在新的SQL注入漏洞并找到堵上此漏洞的方法

2、结合人工智能的sqlmap自动化的延展方向?
结合人工智能,sqlmap可以识别WAF、IPS和IDS并绕过它们,根据服务器对第一步注入操作返回的结果判断出下一步要执行的注入操作,如此反复,直至成功渗透进目标服务器并生成相应渗透报告。

3、结合机器学习的sqlmap准确度如何提升?
结合机器学习,sqlmap通过梳理和分析收集的海量数据,掌握存在相关漏洞的服务器特征,从而能够更精准地发现可以渗透的目标服务器。另外还一种应用是通过机器学习,让目标服务器把sqlmap的注入操作当作正常的操作。

4、sqlmap相关原理应用在数据库建设和数据安全中有哪些启示?
(1)构造的sql语句时使用参数化形式而不使用拼接方式能够可靠地避免sql注入,主流的数据库和语言都支持参数化形式。
(2)对拼接、输入单引号和sql关键字过滤的方法也能在一定程度上防护sql注入,但是由于数据库的具有注释符/连接符、支持十六进制写法、具有char()等编码函数可以使sql语句变换成多种多样的形式,所以这种方法并不可靠。
(3)对客户端提交的数据做一些特殊处理,例如,md5加密过才提交,post参数中加入unixtime时间戳等等。

本人对安全方面没有太深入的研究,上述言论权当抛砖引玉,希望各位大佬不要见笑。

评分

参与人数 1可用积分 +10 收起 理由
飘絮絮絮丶 + 10 赞一个!

查看全部评分

您需要登录后才可以回帖 登录 | 注册

本版积分规则 发表回复

澳门mgm官网



澳门mgm官网——4858澳门美高梅官网注册让你娱乐更简单

SACC2019中国系统架构师大会

【数字转型 架构演进】SACC2019中国系统架构师大会,8.5折限时优惠重磅来袭!
2019年10月31日~11月2日第11届中国系统架构师大会(SACC2019)将在北京隆重召开。四大主线并行的演讲模式,1个主会场、20个技术专场、超千人参与的会议规模,100+来自互联网、金融、制造业、电商等领域的嘉宾阵容,将为广大参会者提供一场最具价值的技术交流盛会。

限时8.5折扣期:2019年9月30日前


----------------------------------------

大会官网>>
  

北京盛拓优讯信息技术有限公司. 版权所有 16024965号-6 北京市公安局海淀分局网监中心备案编号:11010802020122
中国互联网协会会员  联系我们:huangweiwei@it168.com
感谢所有关心和支持过ChinaUnix的朋友们 转载本站内容请注明原作者名及出处

清除 Cookies - ChinaUnix - Archiver - WAP - TOP