1
使用WAF可以阻止正常的基於UNION的SQL注入,它可以過濾關鍵字如UNION, SELECT。但我認爲它可以通過SQL的內聯評論語句旁路,如/*!UNION*/和/*!SELECT*/內聯註釋如何繞過SQL注入Web應用程序防火牆?
評論聲明僅用於閱讀目的,對吧?如果是這樣,SQL服務器如何在註釋中讀取注入查詢並執行它?
A
回答
1
使用WAF過濾關鍵字毫無意義。它不可能成功。看看這種繞過它的方法列表:http://ferruh.mavituna.com/sql-injection-cheatsheet-oku/(我發現在幾秒鐘內與谷歌鏈接。)
如果代碼被正確寫入,那就沒有必要。
至於你的問題,MySQL的語法是/*!是針對MySQL的特定命令。它旨在讓您能夠編寫可移植的SQL(可以在任何數據庫上運行),但仍能夠發送MySQL特殊命令。
0
如果您使用支持數據佔位符的數據庫驅動程序,SQL注入應該不是問題。你試圖做的事後檢測是徒勞的,就像試圖用一個有問題的蒼蠅拍根除蟑螂侵擾一樣。你不可能得到他們全部。
最好的做法是確保不可能首先向您的查詢注入敵對數據。有many examples available on Booby Tables說明如何正確執行此操作。
相關問題
- 1. 郵件應用程序如何繞過防火牆?
- 2. Java EE Web應用程序防火牆
- 3. android.net.sip如何繞過防火牆?
- 4. 如何繞過@JsonIgnore註釋?
- 5. iOS應用防火牆內容過濾
- 6. 是否有可能圍繞應用程序提供防火牆?
- 7. Sql注入登錄繞過
- 8. 通過Iptalbes /防火牆阻止sqlmap注入請求
- 9. Web應用程序中的註釋
- 10. Web應用防火牆是否有用?
- 11. 代理如何繞過防火牆過濾器?
- 12. 使用nodejs創建Web應用程序防火牆
- 13. 如何替換 - (BOOL)應用程序:openURL:sourceApplication:註釋:(id)註釋
- 14. 如何防止SQL注入?
- 15. 通過註冊表禁用Windows防火牆[WINSERVER 2008]
- 16. 如何繞過防火牆和NAT與反向SSH隧道
- 17. ARM模板 - 爲Web應用程序創建SQL Server防火牆規則
- 18. 防止SQL注入 - PHP程序
- 19. 通過@EJB註釋注入遠程EJB
- 20. 如何處理Web應用程序數據庫中的註釋
- 21. Windows Server 2003中,繞過Windows遠程雙向防火牆
- 22. 通過防火牆獲取BlueMix應用程序
- 23. 如何在Android中創建防火牆應用程序?
- 24. 如何在安裝過程中嚮應用程序添加防火牆權限?
- 25. 如何通過代理/防火牆添加Web引用?
- 26. 防止SQL注入
- 27. 防止SQL注入
- 28. SQL注入防禦
- 29. 防止sql注入
感謝您的備忘單,但是我已經有同類型的東西了。你能否更詳細地闡述答案的第二部分?如果它是一種特殊的查詢,那麼它將執行有效的查詢並忽略開發者的註釋? – Jones
@ William.Ebe我發現這個:http://dev.mysql.com/doc/refman/5.1/en/comments.html提到它存在,但沒有記錄所有可能的事情。 – Ariel
謝謝。全清! – Jones