第十三节课作业(yakit靶场sql注入练习)-17674

1. SQL注入漏洞的原理是什么？

答:将用户输入的数据当作代码来执行,从而操作数据库获取敏感信息及数据.

2. SQL注入漏洞的危害是什么？

答: a.个人或公司的敏感信息暴露.如:个人隐私,公司财务数据,及重要来往客户信息等..

   b.数据的篡改与破坏.如:植入广告或木马,修改数据内容导致业务逻辑被破坏,无法正常运行.更甚者甚至删除数据库表,造成大量的经济损失.

   c.通过注入可绕过登录验证,从而获取系统的更高权限.

   d.可以通过注入大量的恶意代码或循环代码消耗服务器资源导致系统崩溃等严重问题.

3. SQL注入漏洞的利用思路？

答:a.首先是通过前期的信息搜集,来确定目标服务器框架或系统信息等

   b.通过在输入框或者直接在url后输入sql闭合语句或参数,用抓包工具来进行测试是否存在注入漏洞

   c.如果确定存在漏洞那么就先判断送哪一种,常见的有联合注入漏洞,报错注入漏洞,盲注等..

   d.确定注入类型并绕过过滤规则后，就可以利用漏洞获取数据库中的敏感信息了

4. 在一个真实站点，哪些功能点会存在SQL注入漏洞？

答: a.搜索框

   b.评论区

   c.留言板

   d.页面跳转(可以通过refer参数来进行注入)

   e.登录注册页面

5. 实际操作课堂讲解的yakit sql注入靶场