本文告诉你监控告警如何做
|
如果此攻击成功,它将删除表项中的所有数据,从而对数据库造成破坏。任何有效的SQL命令都可能以这种方式执行。这是写/修改攻击的示例,其目的是破坏数据库或插入不需要的信息。前面的示例(“or 1=1”)是读取攻击,其目的是数据泄漏。 数据库服务器的许多实现都接受分号作为命令分隔符,这使得这种SQL注入非常危险。尾部的“–”表示文本的其余部分为注释,从而迫使SQL解释器忽略尾部的引号,否则将导致语法错误。欺骗组合查询字符串的方法有多种。有时以开发人员无法想象的方式。 防止SQL注入的缓解措施开发人员应实施几种缓解措施。首先,安全立场应考虑所有来自不受信任的应用程序外部的数据。以下是典型的缓解策略:
这些在OWASP速查表的SQL注入中有更详细的描述。 测试SQL注入 一种典型的安全性方法是,在集成软件运行时,作为常规质量检查操作的一部分,执行各种类型的安全性测试。不幸的是,功能测试不会尝试将漏洞利用插入用户输入字段中,因为大多数测试人员并不认为自己是坏演员。 除了传统上他们没有时间或方向的事实之外。手动测试注入类型漏洞也很困难,因为它需要尝试许多不同的输入组合。这是开始进行模糊测试或模糊测试的地方。它会创建随机,意外和无效的数据作为被测应用程序的输入。模糊测试是渗透测试的一部分,因为目标是通过公开的界面公开安全漏洞。 渗透测试 渗透性测试(以及扩展性的模糊测试)是有益的,因为它可以发现贯穿整个过程的安全性问题并揭示重要的安全性问题。但是,像所有动态测试一样,它完全取决于测试,代码和API覆盖的数量,以完全测试所有可能的排列和组合。渗透测试取决于功能测试的完整性,通常在用户界面级别进行。因此,请务必通过API测试和SAST支持渗透测试,以确保您的工作透彻。 API测试 API测试通过消除对脆弱且耗时的UI测试的依赖,有助于向左移动功能和安全性测试。API层是许多应用程序功能所驻留的地方,并且测试在此级别进行更改时更具弹性,并且更易于自动化和维护。 API级别的渗透测试 使用诸如Parasoft SOAtest之类的工具可以进行API级别的渗透测试以暴露SQL注入,在这些工具中,可以从现有功能测试中创建自动模糊测试,从而行使应用程序的业务逻辑。Parasoft SOAtest与著名的渗透测试工具Burp Suite集成在一起。 使用Parasoft SOAtest执行功能测试方案时,将捕获测试中定义的API调用以及请求和响应流量。每次测试中的Burp Suite分析工具都会将流量数据传递到Burp Suite应用程序的一个单独的运行实例,该实例将根据其在流量数据中观察到的API参数,使用自己的启发式方法对API进行渗透测试。 然后,Burp Suite分析工具将获取Burp Suite发现的任何错误,并将其报告为SOAtest中与访问API的测试相关的错误。Parasoft SOAtest结果将报告到Parasoft的报告和分析仪表板中。有关其他报告功能。
要了解有关此集成的更多信息,请参阅我们以前的渗透测试文章。有关Portswigger关于使用Burp进行SQL注入的更多信息,请查看其文章。以下是与Burp集成的工作方式的表示: (编辑:信阳站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
