2019年1月29日

2019年1月29日星期二

一：SQL注入专题

1、MySQL与SQLserver数据库中的默认的表有哪些？

2、什么是SQL注入

SQL 注入是一种将 SQL 代码插入或添加到应用（用户）的输入参数中，之后再将这些参数传递给后台的 SQL 服务器加以解析并执行的攻击。

3、SQL注入形成的原因

       1、数据代码未完全分离

       2、用户提交的参数未完全做充分检验过滤即被代入到SQL命令中，改变了原有SQL命令的语义，且成功的被数据库执行

4、SQL注入的常见过程

5、从乌云搜集不同的SQL注入案例，并分析

6、SQL漏洞扫描工具

       Safe3wvs，burpsuite，Appscan，AWVS

7、SQL测试语句判定是否有SQL漏洞

二、XSS攻击专题概述

       1、跨站脚本攻击流程

四、业务逻辑漏洞

       1、业务逻辑漏洞分类：

              1）密码重置问题

              2）cookies验证问题

              3）越权操作问题