记一次某院校信息泄露歪打正着的获取到某市的全部学籍信息

随着互联网应用的普及和人们对互联网的依赖,互联网的安全问题也日益凸显。恶意程序、各类钓鱼和欺诈继续保持高速增长,同时黑客攻击和大规模的个人信息泄露事件频发,与各种网络攻击大幅增长相伴的,是大量网民个人信息的泄露与财产损失的不断增加。根据公开信息,2011年至今,已有11.27亿用户隐私信息被泄露。包括基本信息、设备信息、账户信息、隐私信息、社会关系信息和网络行为信息等。人为倒卖信息、PC电脑感染、网站漏洞、手机漏洞是目前个人信息泄露的四大途径。个人信息泄露危害巨大,除了个人要提高信息保护的意识以外,国家也正在积极推进保护个人信息安全的立法进程。

Boolean注入攻击

在Boolean注入页面中,程序先获取GET参数ID,通过preg_match判断其中是否存在/union|sleep|benchmark/等危险字符。然后将参数ID拼接到SQL语句。从数据库中查询,如果有结果,则返回yes,佛则返回no。当访问该页面时,代码根据数据库查询结果返回yes或no,而不返回数据库中的任何数据,所以页面上只会显示yes或no

SQL注入基础

介绍SQL注入

Sql注入就是指web应用程序对用户输入数据的合法性没有判断,前段传入后端的参数是攻击者可控的,并且参数带入数据库查询,攻击者可以通过构造不同的SQL语句来实现对数据库的任意操作
一般情况下,开发人员可以使用动态SQL语句创建通用、灵活的应用,动态SQL语句是在执行过程中构造的,它根据不同的条件产生不同的SQL语句。当开发人员在运行过程中需要根据不同的查询标准决定提取什么字段(如select语句),或者根据不同的条件选择不同的查询表时,动态地构造SQL语句会非常有用

,