来源:自学PHP网 时间:2015-04-17 11:59 作者: 阅读:次
[导读] 随着网络安全技术的发展,SQL 注入作为一种很流行的攻击方式被越来越多的人所知晓。很多网站也都对SQL 注入做了防护,许多网站管理员的做法就是添加一个防注入程序。这时我们用常...
|
随着网络安全技术的发展,SQL 注入作为一种很流行的攻击方式被越来越多的人所知晓。很
多网站也都对SQL 注入做了防护,许多网站管理员的做法就是添加一个防注入程序。这时我
们用常规的手段去探测网站的SQL 注入漏洞时会被防注入程序阻挡。遇到这种情况我们该怎
么办?难道就没有办法了吗?答案是否定的。我们知道,一般的防注入程序都是基于“黑名
单”的,根据特征字符串去过滤掉一些危险的字符。一般情况下我们认为黑名单是不安全的,
它存在被绕过的风险。比如有的防注入程序只过滤了通过GET、POST 方式提交的数据,对通
过Cookie 方式提交的数据却并没有过滤,这时我们该怎么办?在本文你将会找到答案。
Cookie 背景介绍
Cookie 最先是由Netscape(网景)公司提出的,Netscape 官方文档中对Cookie 的定义
是这样的:Cookie 是在HTTP 协议下,服务器或脚本可以维护客户工作站上信息的一种方
式。
Cookie 的用途
Cookie 的用途非常广泛,在网络中经常可以见到Cookie 的身影。它通常被用来辨别用户身
份、进行session 跟踪,最典型的应用就是保存用户的帐号和密码用来自动登录网站和电子
商务网站中的“购物车”。
Cookie 注入原理
Cookie 注入简单来说就是利用Cookie 而发起的注入攻击。从本质上来讲,Cookie 注入与传
统的SQL 注入并无不同,两者都是针对数据库的注入。只是表现形式上略有不同罢了。
|
自学PHP网专注网站建设学习,PHP程序学习,平面设计学习,以及操作系统学习
京ICP备14009008号-1@版权所有www.zixuephp.com
网站声明:本站所有视频,教程都由网友上传,站长收集和分享给大家学习使用,如由牵扯版权问题请联系站长邮箱904561283@qq.com
