1
使用WAF可以阻止正常的基于UNION的SQL注入,它可以过滤关键字如UNION, SELECT。但我认为它可以通过SQL的内联评论语句旁路,如/*!UNION*/和/*!SELECT*/内联注释如何绕过SQL注入Web应用程序防火墙?
评论声明仅用于阅读目的,对吧?如果是这样,SQL服务器如何在注释中读取注入查询并执行它?
A
回答
1
使用WAF过滤关键字毫无意义。它不可能成功。看看这种绕过它的方法列表:http://ferruh.mavituna.com/sql-injection-cheatsheet-oku/(我发现在几秒钟内与谷歌链接。)
如果代码被正确写入,那就没有必要。
至于你的问题,MySQL的语法是/*!是针对MySQL的特定命令。它旨在让您能够编写可移植的SQL(可以在任何数据库上运行),但仍能够发送MySQL特殊命令。
0
如果您使用支持数据占位符的数据库驱动程序,SQL注入应该不是问题。你试图做的事后检测是徒劳的,就像试图用一个有问题的苍蝇拍根除蟑螂侵扰一样。你不可能得到他们全部。
最好的做法是确保不可能首先向您的查询注入敌对数据。有many examples available on Booby Tables说明如何正确执行此操作。
相关问题
- 1. 邮件应用程序如何绕过防火墙?
- 2. Java EE Web应用程序防火墙
- 3. android.net.sip如何绕过防火墙?
- 4. Sql注入登录绕过
- 5. 是否有可能围绕应用程序提供防火墙?
- 6. Web应用程序中的注释
- 7. 代理如何绕过防火墙过滤器?
- 8. 使用nodejs创建Web应用程序防火墙
- 9. 如何替换 - (BOOL)应用程序:openURL:sourceApplication:注释:(id)注释
- 10. 如何防止SQL注入?
- 11. 通过注册表禁用Windows防火墙[WINSERVER 2008]
- 12. 防止SQL注入 - PHP程序
- 13. 通过@EJB注释注入远程EJB
- 14. ARM模板 - 为Web应用程序创建SQL Server防火墙规则
- 15. 如何处理Web应用程序数据库中的注释
- 16. Windows Server 2003中,绕过Windows远程双向防火墙
- 17. 如何在安装过程中向应用程序添加防火墙权限?
- 18. 如何在Android中创建防火墙应用程序?
- 19. 防止SQL注入
- 20. 防止sql注入
- 21. 如何通过代理/防火墙添加Web引用?
- 22. LINQ-To-SQL如何防止SQL注入?
- 23. 显式内联注释
- 24. DB2 CLP内联注释
- 25. 从SQL注入保护应用程序
- 26. 如何在注销应用程序时释放内存?
- 27. 如何通过EclipseLink注释指定SQL注释?
- 28. 如何从java程序中通过防火墙
- 29. SQL防止SQL注入
感谢您的备忘单,但是我已经有同类型的东西了。你能否更详细地阐述答案的第二部分?如果它是一种特殊的查询,那么它将执行有效的查询并忽略开发者的注释? – Jones
@ William.Ebe我发现这个:http://dev.mysql.com/doc/refman/5.1/en/comments.html提到它存在,但没有记录所有可能的事情。 – Ariel
谢谢。全清! – Jones