1. 什么是SQL注入?
SQL通常出现在网站中有提交表单的页面,这些表单的提交会涉及到一些数据库的查询操作,此时攻击者可以利用SQL语句上的一些技巧来获取网站的敏感信息,甚至可以获取webshell。这样利用程序的漏洞来执行SQL语句就是SQL注入。
通常可以把SQL注入分为两大类:SQL注入和SQL盲注。两者并没有特殊的区别,因为是在不同的应用场景下所以才会有名字上的差异,对于一些安全性较低的网站,输入错误的SQL语句,会给出相应的提示,然后就可以感觉提示来逐步地寻找网站可能存在的漏洞,如此难度较低的SQL注入方式被称为SQL注入,也被称为会显示注入。然而,有些网站再输入错误的SQL语句后并不会有错误的提示,攻击者只能通过经验和猜测来进行尝试,这种难度比较高的SQL注入被称为SQL盲注。
2.什么是文件包含漏洞?
文件包含也叫作File Inclusion,这种漏洞常常出现于通过脚本运行的网站。当应用程序使用攻击者控制的变量建立可执行代码的路径时,就会产生文件包含漏洞,攻击者可以控制在运行时执行他想要执行的文件。
文件包含分为两种类型:本地文件包含和远程文件包含。
本地文件包含,只包含在服务器上的文件;远程文件包含,可以包含远在其他服务器上的文件。
3.什么是密码爆破?
施工中……