@CI
2年前 提问
1个回答

注入攻击一般所支持的类型有那些

安全小白成长记
2年前

注入攻击一般所支持的类型有以下几种:

  • union注入:搭配order by联合语句使用。

  • information_schema注入:系统自带的数据库。

  • 基于函数报错注入:extractvalue注入、floor注入、updatexml注入。updatexml注入又分为 insert注入:(注册中易出现) 、update注入:(更新中易出现)、delete注入:(留言,删除中易出现)、select注入。

  • insert注入:就是前端注册的信息最终会被后台通过insert这个操作插入数据库,后台在接受前端的注册数据时,没有做防SQL注入的处理,导致前端的输入可以直接拼接SQL到后端的insert相关内容中,导致了insert注入。

  • update注入:与insert注入的方法大体相同,区别在于update用于用户登录端,insert用于用户注册端。一般登录网站前台或后台更新用户信息的地方,填写用户需求修改相关信息,通过Burp抓包在用户名输入相关payload。

  • delete注入:一般应用于前后端发帖、留言、用户等相关删除操作,点击删除按钮时可通过burpsuite抓包,对数据相关delete阐述进行注入。

  • http header注入:各种http请求头(refere等等)。

  • cookie注入:后端获取cookie后放在数据库中进行拼接。

  • 盲注:基于布尔类型的SQL盲注、基于时间型的SQL盲注、基于报错的SQL盲注。

  • 宽字节(绕过)注入:%df’or 1=1