什么是SQL注入(SQLi)?简而言之,SQL注入(SQLi)是一种允许黑客利用易受攻击的SQL查询来运行他们自己的查询的攻击。当攻击者能够在服务器上运行他们自己的SQL时,就会发生SQL注入。SQL注入在技术出版物中通常称为“SQLI”或“SQLi”。北京六一信息技术有限公司的开发工程师指出,这些攻击可以发生在任何使用SQL或SQL的衍生物来管理数据的系统上。由于在WordPress平台上运行的网站数量庞大,因此对WordPressSQL注入进行了特别深入的研究和记录。让我们来看看这些攻击涉及的更多技术支出。SQL注入的定义从定义上看,SQL注入的目的总是恶意的,通常旨在实现以下三个目标中的一个或多个:l未经授权的数据检索——在SQL中,SELECT命令用于捕获fetch数据。如果攻击者可以成功地操纵基于SELECT的查询,他们将能够“转储”数据库的内容。这就是为什么使用不应公开的信息对所有数据库进行加密至关重要的原因。l数据修改——在其他情况下,WordPressSQL注入的目标可能是更改数据库中的条目。这通常用于分配他们通常不会拥有的特定帐户或一组帐户权限。l拒绝服务(DoS)–DoS攻击是指恶意用户使合法用户更难访问您的网站或服务。SQL中删除数据常用的命令是DELETE。攻击者经常删除数据库中的大量内容,导致目标站点无法访问或无法使用。快速提示:定期备份您的网站!许多有经验的开发人员会保留一份他们为WordPress网站编写的所有SQL的离线副本。以.sql文件的形式,这些可以与WordPress备份插件结合使用,以确保即使攻击者可以破坏您的安全,您也可以在很短的时间内恢复。解释的SQL注入攻击类型既然我们已经探索了一些基于SQL的攻击可能造成的损害,现在是探索注入的更多技术方面的时候了。您应该了解一些重要的注入类型子集。经典SQL注入(SQLi)最常见的注入类型,经典版本是攻击者提前知道SQL代码的地方。这也恰好是WordPress上最常用的注入类型;由于WordPress是开源的,因此其所有组件都可供公众访问,包括其SQL查询。稍后我们将跳转到一个真实的示例,但是使用这种形式的注入,攻击者通常会操纵查询以“取消”查询的第一部分。然后他们可以插入一个自定义查询,服务器将按照原始开发人员编写的方式运行。SQL盲注(SQLi)与经典版本的不同之处在于,SQL盲注发生在攻击者无权访问SQL代码而只需要进行有根据的猜测时。此外,这种类型比传统的SQLi需要更多的技巧,因为攻击成功的结果不会透露给攻击者。也就是说,有许多程序可以帮助恶意用户一点一点地自动获得结果。复合SLQ注入(SQLi)是一种攻击形式,它将单独的攻击与SQLi相结合以达到预期的结果。三个子组中最复杂的一个,攻击者必须执行一个漏洞利用,使他们能够执行本身无法运行的SQLi。SQLi在此类攻击中最常见的漏洞是身份验证漏洞、分布式拒绝服务(DDoS)攻击、DNS劫持和跨站点脚本攻击。
