“注入”可以说是最近几年出镜率非常高的一个入侵名词,凭借“四两拔千斤”的巧力,注入甚至会“秒杀”到网站管理员的账号与密码。如今,黑客通过注入的方式来人侵网站的现象非常普遍,通常他们会先提交一段精心构建的数据库查询代码(将SQL命令插入到Web表单输入域),欺骗目标网站服务器执行这些恶意的SQL命令:然后根据对方服务器的“应答”返回结果来获得想要的账号和密码等敏感信息——这就是“SQL注入攻击”(SQLInjection)。
黑客进行网站的注入检测过程并不复杂,只须使用相关的工具软件即可简单地进行注入点有无的判断、猜解数据库名称和账号等操作:比较流行的工具有“明小子旁注WEB综合检测程序”、“啊D注入工具”、HDSI、穿山甲、Havij等等,其工作原理都是通过使用自带的数据库字典文件来机械尝试目标网站可能存在的链接信息:
网站存在注入漏洞的根本原因,是由于所使用的系统对敏感字符未做严格的过滤,而所谓的“防注”指的就是尽可能地过滤掉所有的危险字符来达到防止被注入的目的。比如一般的防注入程序都是通过编写一个数组(包含了很多SQL攻击关键字)来获取客户端的输入数据,然后用for循环和instr函数来检测其中是否有数组所包含的SQL攻击关键字——如果有,则向客户端浏览器发送“您输入的数据中含有攻击字符,请不要尝试攻击!”等提示(如下图);没有的话,系统便正常响应。
本文关键字:网站 网络技术,电子知识资料 - 网络技术
上一篇:网站“防注”薄弱 易遭窃密
