工业互联网安全测试技术：数据库攻击.docx

数据库攻击 实验原理 二次注入：攻击者构造的恶意数据存储在数据库后，恶意数据被读取并进入到SQL查询语句所导致的注入。防御者可能在用户输入恶意数据时对其中的特殊字符进行了转义处理，但在恶意数据插入到数据库时被处理的数据又被还原并存储在数据库中，当web程序调用存储在数据库中恶意数据并执行SQL查询时，就发生了SQL二次注入。 堆叠注入：多条sql语句一起执行。在MySQL中，每一条语句结尾加;表示语句结束，结尾加上;可以多条语句一起执行。比如用户输入：1; DELETE FROM products服务器端生成的sql语句为：（因未对输入的参数进行过滤）Select * from products where productid=1;DELETE FROM products当执行查询后，第一条显示查询信息，第二条则将整个表进行删除。 实验目的 了解sql的二次注入 了解sql的堆叠注入 实验环境 Windows10，phpstudy（php5，mysql5.7，apache2.4），sqli-labs 推荐课时数 推荐课时数：2课时 实验步骤 工业控制系统一般会用到MySQL、Oracl