危险!!!也许你的web网站或服务正在悄无声息地被SQL注入
生活随笔
收集整理的這篇文章主要介紹了
危险!!!也许你的web网站或服务正在悄无声息地被SQL注入
小編覺得挺不錯(cuò)的,現(xiàn)在分享給大家,幫大家做個(gè)參考.
2010年秋季,聯(lián)合國官方網(wǎng)站遭受SQL注入攻擊。
2014年一個(gè)叫“TeamDigi7al”的黑客組織攻擊了美國海軍的一個(gè)名為“Smart Web Move”的web應(yīng)用。此次事件直接造成美國海軍數(shù)據(jù)庫超過22萬服役人員的個(gè)人信息被泄露。而事后,美國海軍動(dòng)用了超過50萬美元來彌補(bǔ)此次的數(shù)據(jù)泄密事故。
當(dāng)然,我也曾經(jīng)試圖通過抓包工具抓包,獲取游戲兌換碼,充值驗(yàn)證平臺(tái)的網(wǎng)絡(luò)地址和數(shù)據(jù),通過sql注入發(fā)現(xiàn)70%的游戲兌換碼后臺(tái),充值平臺(tái)等都存在嚴(yán)重的SQL注入漏洞(不過我沒有利用這些漏洞刷獎(jiǎng)勵(lì),因?yàn)樽鳛橛螒蜷_發(fā)者,這是對游戲生態(tài)的保護(hù),也是紅線,不能越過)。
什么是SQL注入
Sql 注入攻擊是通過將惡意的 Sql 查詢或添加語句插入到應(yīng)用的輸入?yún)?shù)中,再在后臺(tái) Sql 服務(wù)器上解析執(zhí)行進(jìn)行的攻擊,它目前黑客對數(shù)據(jù)庫進(jìn)行攻擊的最常用手段之一。
在游戲上線后,游戲官方的運(yùn)營經(jīng)常會(huì)搞點(diǎn)活動(dòng)提升DAU,發(fā)一些福利,這些福利有很多都是通過鏈接打開,要求你輸入自己的賬號(hào)和兌換碼,這些鏈接大都是將網(wǎng)頁數(shù)據(jù)通過http/https協(xié)議傳輸?shù)絯eb服務(wù)器解析,然后根據(jù)條件滿足與否來判斷是否發(fā)貨,我相信大多數(shù)游戲玩家心里對福利能偷偷地被無限領(lǐng)取抱有幻想,限于本文討論的主題和篇幅限制,我在下一篇文章將給大家介紹下如何利用sql注入來無限刷游戲獎(jiǎng)勵(lì)(作為游戲玩家),又如何防止sql注入
總結(jié)
以上是生活随笔為你收集整理的危险!!!也许你的web网站或服务正在悄无声息地被SQL注入的全部內(nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 图【数据结构F笔记】
- 下一篇: redis——NOSQL及redis概述