HxCodeWarrior / CCSP_BootCamp

欢迎来到青海的大学网络安全培训及项目管理社团的GitHub仓库!这个仓库旨在为社团成员提供一个集中的平台,以共享和协作有关网络安全培训和项目管理的资源、工具和最佳实践。我们的目标是促进网络安全意识和技能的提升,同时培养团队成员在项目管理方面的能力。
7 stars 4 forks source link

Expansion tasks for the second week【SQL injection and defense strategies】 #8

Open HxCodeWarrior opened 3 days ago

HxCodeWarrior commented 3 days ago

一、SQL注入与防御策略

任务1:SQL注入的深入理解与利用

  1. SQL注入类型:

    • 学习并实验不同类型的SQL注入,包括盲注(Blind Injection)、联合查询注入(Union-based Injection)、时间盲注(Time-based Blind Injection)等。
    • 针对每种SQL注入类型,使用sqlmap工具进行自动化扫描,记录相关的命令、输出结果及工具日志。
  2. 攻击实战:

    • 访问并分析目标网址(如 http://101.43.235.147/sqli/02.php?id=2)。
    • 使用 sqlmap 工具进行注入攻击,获取数据库信息、表结构、表数据等。
    • 使用 sqlmap 的不同选项(如 --dump, --tables, --columns)探测并提取数据库中的敏感数据。
  3. 防御措施:

    • 学习如何防范SQL注入漏洞,重点理解输入验证、预编译语句、ORM(对象关系映射)等技术。
    • 在自己搭建的简单Web应用(如PHP+MySQL)中,尝试实现SQL注入防护,包括但不限于:
      • 使用预处理语句(Prepared Statements)。
      • 对用户输入进行有效性验证和清理。
      • 使用Web应用防火墙(WAF)来阻止SQL注入攻击。
  4. 任务提交:

    • 提交一个报告,内容包括:
      • 各种SQL注入类型的攻击过程及相应的sqlmap命令和输出。
      • 防护措施的实现与测试,说明如何避免这些攻击。
MoXuanQAO commented 3 days ago

111

xzkf004 commented 3 days ago

xzkf004认领任务

DreamMolly commented 3 days ago

111

zuohenlin commented 3 days ago

zuohenlin认领

~HX学长~

任务一