下载掌阅APP,畅读海量书库
立即打开
随着信息技术的发展,网站(Web)技术广泛应用于人们的生活和工作中。无论是传统的网站还是手机App,它们都借助Web技术从服务器上读写数据。但Web服务器往往存在诸多潜在的安全风险和隐患,如SQL注入攻击、跨站脚本攻击和命令注入攻击等。尤其是Web服务器广泛使用数据库技术,这导致SQL注入攻击成为最常见的攻击方式。
一个Web服务器上可能存储着成百上千个网页,用于接收用户数据,并从数据库中读写数据,只要其中一个网页对用户数据过滤得不严格,就会形成SQL注入漏洞,加之SQL注入的方式众多,这些因素都导致手动测试的工作量巨大。
sqlmap是一款业界知名的开源自动化SQL注入测试工具,支持当下流行的39种数据库。它不但提供多种目标指定方式,而且还支持多目标批量测试。另外,它还能利用6种主流的注入技术自动探测目标存在的SQL注入漏洞,并验证漏洞的危害程度。
本书按照SQL注入的测试流程,详细介绍sqlmap的使用方法。本书对sqlmap提交的参数进行详细分析,明确SQL注入的防范机制,另外还重点展现SQL注入带来的各种危害,从而帮助安防人员更好地进行防范。
1. 内容可操作性强
SQL注入是一门操作性非常强的技术,为了方便读者学习和理解,本书遵循SQL注入的流程来合理安排内容。首先介绍各项准备工作;然后介绍如何指定目标,给出设置连接目标的方式并探测注入点;最后介绍如何利用注入漏洞获取信息,并分析在该过程中采用的各项技术。书中在介绍每个功能时都配以实例,以帮助读者通过实践的方式进行理解和学习。
2. 涵盖不同类型的数据库信息获取方法
不同类型的数据库获取信息的方式和侧重点有所不同,本书详细介绍MySQL、MSSQL、Access和Oracle这4种常见的主流数据库的信息获取方法,以帮助读者掌握SQL注入防护的重点。
3. 涉及多种SQL攻击技术和思路
为了帮助读者了解SQL注入技术,本书详细介绍sqlmap使用的6种注入技术,即基于布尔的盲注、基于错误的注入、基于时间的盲注、联合查询注入、堆叠注入和DNS注入,另外还会介绍一种特殊的注入思路——二级SQL注入。
4. 提供完善的技术支持和售后服务
本书提供QQ交流群(343867787)和论坛(bbs.daxueba.net),供读者交流和讨论学习中遇到的各种问题。读者还可以关注微博账号(@大学霸IT达人)获取图书内容更新信息及相关技术文章。另外,本书还提供售后服务邮箱hzbook2017@163.com,读者在阅读的过程中若有疑问,也可以通过该邮箱获得帮助。
第1篇 测试准备
本篇涵盖第1~4章,主要介绍学习SQL注入攻击前的各项准备工作,如环境配置、指定目标、连接目标、探测注入漏洞及数据库类型等。
第2篇 信息获取
本篇涵盖第5~9章,主要介绍如何获取MySQL、MSSQL、Access和Oracle这4种常见的数据库服务器的重要信息。
第3篇 高级技术
本篇涵盖第10~14章,主要介绍sqlmap注入攻击所依赖的技术,并介绍如何验证漏洞的危害性以及如何提升sqlmap的测试效率,如优化注入、保存数据、导出数据和规避防火墙等。
本书涉及的教学视频、思维导图、工具和软件需要读者自行获取,获取途径有以下几种:
为了让本书内容紧跟技术发展和软件更新的步伐,笔者会对书中的相关内容进行不定期更新,并发布对应的电子文档。需要的读者可以加入QQ交流群获取,也可以通过机械工业出版社华章分社网站上的“本书配套资源”链接进行下载。
感谢在本书编写和出版过程中给予我们大量帮助的各位编辑!限于作者水平,加之写作较为仓促,书中可能存在一些疏漏和不足之处,敬请各位读者批评、指正。
编著者