实习日记:navicat利用dvwa SQL注入漏洞
日期:2024 年7 月3 日
首先,我下载并安装了Navicat,一个强大的数据库管理工具,支持多种数据库类型。我用它来连接DVWA 提供的MySQL 数据库。 Navicat让我们能够轻松浏览数据库结构和数据,为理解SQL注入漏洞的原理奠定了基础。
研究了SQL注入攻击的机制。我们通过DVWA提供的漏洞场景尝试了一种低格式的SQL注入技术——联合查询注入。该实验让我们更深入地了解如何利用不安全的输入验证和未经授权的数据库操作来导致未经授权的访问和敏感数据的泄漏。
今天的实习经历让我对SQL注入漏洞有了深刻的认识。虽然DVWA 为学习和实验提供了一个安全的环境,但我知道在现实应用中任何形式的未经授权的访问都是严重非法和不道德的。因此,作为一名开发人员,我有责任确保应用程序的安全,并积极了解采用适当的安全措施保护用户数据和系统的重要性。通过今天的学习和实践,我深深感受到网络安全是所有开发者都应该关注并持续学习的重要课题。
Dvwa-SQL注入:
低的:
确定注射类型。
如果输入1,结果将是:
如果输入“1”,结果将为
我们可以看到1属于字符类型
使用navicat软件连接到SQL
请输入SQL命令
SQL 查询通常需要WHERE 语句来过滤要查询的字段。第一个单引号关闭SQL 查询语句中的单引号。理论上只有id=1的用户信息才能满足这个条件。不过,这次我们添加了OR 运算“1=1”。这个条件总是为真,当查询用户ID !=1时,SQL会判断or运算符后面的条件是否为真。 “1=1”始终为真,因此无论数据是什么,都会因为满足要求而被回显。
这将为您提供5 个用户的密码。
注意:这是为了更好地理解SQL。实际上,SQL 数据库可能无法访问。
以上#dvwa中的navicat SQL注入漏洞相关内容来源仅供参考。相关信息请参见官方公告。
原创文章,作者:CSDN,如若转载,请注明出处:https://www.sudun.com/ask/93012.html
