靶场科普 | SQL注入之Cookie注入

本文由“东塔网络安全学院”总结归纳

今天，给大家介绍一下“东塔攻防世界”其中的一个靶场：“MongoDB数据库注入”。

一、实验介绍

1.SQL注入

SQL注入是网站存在最多也是最简单的漏洞，主要原因是程序员在开发用户和数据库交互的系统时没有对用户输入的字符串进行过滤，转义，限制或处理不严谨，导致用户可以通过输入精心构造的字符串去非法获取到数据库中的数据。

2.了解Cookie

Cookie是在HTTP协议下，服务器或脚本可以维护客户工作站上信息的一种方式，通常被用来辨别用户身份，进行session跟踪。

Cookie注入简单来说就是利用Cookie而发起的注入攻击。想要了解Cookie注入，还得知道request对象，request对象在获取数据时是按照Cookie等顺序来获取，如果未对Cookie字段做严格过滤，就可能存在注入。

二、实验目的

1.掌握sql注入的原理以及利用过程

2.掌握cookie注入的原理以及注入的方式

三、实验步骤

按照解题思路进行实践

四、防御方法

1.构造的sql语句时使用参数化形式而不使用拼接方式能够可靠地避免sql注入，主流的数据库和语言都支持参数化形式
2.拼接加对输入进行单引号和sql关键字过滤的方法也能在一定程度上防护sql注入
3.采用sql语句预编译和绑定变量
4.严格检查参数的数据类型，还有可以使用一些安全函数，来防止sql注入

速度登录https://labs.do-ta.com/ GET起来

现在注册，立得50积分哟 ✌

东塔网络安全学院在各大平台均上线了各项活动和学习内容，快快登录以下各大平台学习起来吧~

微博、腾讯课堂、知乎、今日头条、学浪：

东塔网络安全学院

抖音1号：东塔网络安全培训

抖音2号：东塔网络安全教育

哔哩哔哩：东塔网络安全

了解更多活动和咨询欢迎微信添加：dongtakefu