|
, D9 K5 y# q+ A! x$ d7 Y. z( ~
上一期引石老王为大家介绍了网络间谍惯用的APT攻击手段,这一期老王为大家讲一下网络中最知名、也是最危险的SQL注入攻击SQL注入攻击是针对数据库实施攻击的一种常用方法,网络上有各种傻瓜式SQL注入工具,对于攻击者来讲,实现SQL注入攻击已经变得非常容易。 4 y# d) A5 O: D" W9 l
所以,SQL注入攻击也就成为了Internet上最知名、最危险的安全漏洞之一 9 I6 J/ y9 P9 K3 \0 K4 ]. [
SQL(即:Structured Query Language)是数据库结构化查询语言的简称,主要用于存取数据以及查询、更新和管理关系数据库系统通过SQL对数据库查询,不需要指定对数据的存放方法,也不需要知道数据具体的存放方式,完全不同底层结构数据库系统,都可以使用相同的SQL语言进行查询。
! { S$ ^" t3 F! T! X; f. p SQL具有极大的灵活性和强大的功能,但这也为数据库遭遇攻击埋下了安全风险 " a, P3 a H7 v2 y( t$ f4 ^3 r* F
举个例子说明一下SQL注入攻击的过程:当你通过电脑客户端的Web页面访问后台数据库时,应用会将Web页面的原URL、表单域或数据包输入的参数,修改并拼接成SQL语句,并传递给Web服务器执行数据库命令在SQL语句形成的过程中,攻击者如果将非法数据或者命令注入到SQL语句中,而Web应用程序对输入的数据或cookie等内容不进行验证就传给数据库的话,SQL语句将会被执行,从而发生SQL注入攻击。
6 p* \ w0 ?# Y1 b) x1 r- X SQL注入攻击对数据库造成的安全风险包括:刷库、拖库、撞库说得直白一点,就是让数据库的数据发生泄露 " T4 N* Q3 E# d( k: o& F
了解了SQL注入攻击的过程和危害,其实也就有了应对的方式,SQL注入攻击发生的核心就是因为数据库本身对输入数据的合法性缺失判断造成的,所以,预防SQL注入攻击,一般通过数据库漏扫、数据库加密、数据库防火墙、数据脱敏、数据库安全审计等方式进行预防。
6 d6 L2 J2 M& K0 e' F9 k 这一期就介绍到这里,有对SQL注入攻击还不理解的同学可以留言!希望我说一下您不理解的某种攻击方式的朋友,也可以留言给我,我将为您白话讲解欢迎留言!引石老王:从事信息安全工作20年,是国内首批商业密码从业人员,也是国家商业密码应用的参与者与见证者。
* N% l* C5 F8 v" m 专注物联网、人工智能应用的远程控制指令的加固授权,致力于系统的反劫持防御与信息安全反黑关注引石老王,为您解读安全与高科技,提高安全意识,保障个人信息安全。欢迎关注交流、留言探讨,期待与您的互动!
0 p' [4 i: V% L# {2 v8 ~& A: y, B/ s. p7 P8 m
8 F; D& a. L+ [5 l* x; A% a& Y
" d/ m4 R: `/ r
6 V$ V* }- A$ P% D, O |