zoukankan      html  css  js  c++  java
  • MYSQL注入天书之前言

    写在前面的一些内容

    请允许我叨叨一顿:

    最初看到sqli-labs也是好几年之前了,那时候玩了前面的几个关卡,就没有继续下去了。最近因某个需求想起了sqli-labs,所以翻出来玩了下。从每一关卡的娱乐中总结注入的方式,这就是娱中作乐,希望能保持更大的兴趣学下去。而很多的东西不用就忘记了,有些小的知识点更是这样,网上搜了一下相关资料,基本上同仁前辈写的博客中讲解基础关。脑门一热决定给后面的人留下点东西(或许糟粕或许精华,全在你的角度),遂决定写blog。Blog写完了后决定总结成一个pdf文档,更方便查看。本来想着录制视频,可是时间要求太长了,所以只能先放下,此处看后期时间安排或者需求,可能的话对原作者的视频进行消音重新配音。最后希望能对后面参考该文档的人有帮助,不枉此作

    为什么要写这个?

    (1)sql的危害,多少的网站是被此攻破的,危害不必细讲,同样的今天网络安全形势一片大好,依旧有很多的网站存在漏洞。具体不表,可以去各大src看看。

    (2)很多的人觉得sql是如此的简单,同时很多的人是华而不实,对sql注入的理解到底有多深,决定了你对此漏洞的利用方式有多么变幻莫测。个人就想着利用自己对sql注入的理解,来完成这一个游戏。当然了,sql注入的内容有很多,这个是真的!因为我写的手酸。。

    (3)以前自己在学习的时候太过于痛苦,大部分的人入门的时候通过sql走进来。同时呢,sql注入的世界真的很精彩,当你看到别人用智慧构成的payload时,你会感触颇多。所有形成你自己的理解和使用方法,而不是生搬硬套。此处希望通过该文档帮助到正在学习的人。

    这项工作要怎么做?

    现在大致的思路分为三个部分,但是不知道有没有时间和精力能够写完。确实写的过程比较耗费时间。

    1. 、通过源码和手工的方式,将所有的注入方式和造成漏洞的原因找出来,并进行学习。此处要求是对每一个类型的注入进行"深刻"的了解,了解其原理和可能应用到的场景。
    2. 通过工具进行攻击,我们此处推荐使用sqlmap。此过程中,了解sqlmap的使用方法,要求掌握sqlmap的流程和使用方法,精力较足的话,针对一些问题会附sqlmap的源码分析。
    3. 自己实现自动化攻击,这一过程,我们根据常见的漏洞,自己写脚本来进行攻击。此处推荐python语言。同时,sql-labs系统是php写的,这里个人认为可以精读一下每关的源码,同时针对有些关卡,可以尝试着添加一些代码来增强安全性。

      Ps:工具注入和自动化注入可能延后,见第二个版本。请关注博客。

      你该怎么去学?

    4. 安装环境后,动手实验。实践中遇到问题才能更大的激发起兴趣。
    5. 遇到不会查资料,可以在我的博客(www.cnblogs.com/lcamry)中找到一些资料。或者可以请教别人,虚心请教,不耻下问。三人行必有我师焉!
    6. 书山有路勤为径,勤奋是唯一的一条路。

      我的相关介绍

      Blog:www.cnblogs.com/lcamry

      联系QQ:646878467

      课余时间和工作之外时间来写,时间仓促,同时个人实力有限,望各位批评指正。

  • 相关阅读:
    【LeetCode OJ】Remove Element
    【LeetCode OJ】Remove Duplicates from Sorted Array
    【LeetCode OJ】Swap Nodes in Pairs
    【LeetCode OJ】Merge Two Sorted Lists
    【LeetCode OJ】Remove Nth Node From End of List
    【LeetCode OJ】Two Sum
    【LeetCode OJ】Majority Element
    最长公共子序列问题
    php fopen与file_get_contents的区别
    PHP 技巧集合
  • 原文地址:https://www.cnblogs.com/lcamry/p/5763164.html
Copyright © 2011-2022 走看看