课程概述
本课程为SQL注入进阶系列,以深入SQL注入技能为目标,通过由常规的MySQL注入进阶到现阶段使用更为广泛的MsSQL、Oracle注入以及非关系型数据库的注入攻击,探究不同数据库在注入攻击时的特性特点;探索注入原理,学习使用自动化利用工具的,如SQLmap的使用,并编写简单插件。
证书要求
无
预备知识
了解HTTP协议,了解常见的数据库、脚本语言、中间件。具备基本的编程语言基础。
授课大纲
第一章:SQL注入基础
1.1 Web应用架构分析
1.2 SQLi注入环境搭建
1.3 SQL注入原理分析
1.4 MySQL注入方法逻辑运算及常用函数
1.5 SQL注入流程
1.6 SQL手工注入方法
第二章:SQL注入语法类型
2.1 union联合查询注入
2.2 报错注入
第三章:SQL盲注
3.1 SQL盲注- 布尔盲注
3.2 SQL盲注-时间注入
3.3 Dnslog盲注
第四章:SQL注入防御绕过
4.1 宽字节注入
4.2 二次编码注入
4.3 二次注入
4.4 WAF绕过原理分析
4.5 SQLmap绕过WAF脚本编写
第五章:MsSQL数据库注入
5.1 MsSQL数据库环境搭建
5.2 MsSQL数据库注入(一)
5.3 MsSQL数据库注入(二)
第六章:Oracle数据库注入
6.1 Oracle数据库环境搭建
6.2 Oracle数据库注入(一)
6.3 Oracle数据库注入(二)
第七章:SQLMap实战进阶
7.1 SQLMap进阶(一)
7.2 SQLMap进阶(二)
参考资料
《白帽子讲Web安全》
《黑客攻防技术宝典-Web实战篇》
