Day24:今天我们来聊一下SQL Injection

SQL Injection是攻击者控制资料驱动的Web Application和Web最常见和最具破坏性

的攻击。利用website或application software中的code injection技术。

SQL injection攻击使用一系列恶意的SQL(结构化查询语言)查询或语句来直接操作

任何类型的SQL资料库。

应用程序通常使用SQL statements来验证使用者,验证角色和存取层级,储存,以获取

应用程序和使用者的讯息及连接到其他data sources。

当攻击者使用SQL injection等策略来破坏Web applications及sites时,

目标组织可能会在金钱,声誉以及数据和功能面蒙受巨大损失。

做LAB时我们是用www.moviescope.com 来练习,设定时一直卡关,後来是参考以下YT影片

才搞定

另外若是要用http://www.goodshopping.com/ 练习,可以看以下YT影片把环境建立起

接下来我们就可以开始快乐做Lab啦

使用Windows 10登入http://www.goodshopping.com网站

在Username栏位输入blah' or 1=1 -- ,密码栏位保持空白,按下Log in按键,如下图

接下来我们在GoodShopping网站输入以下资讯

就会运用语法的逻辑错误建立起资料库mydatabase