实战绕过安全狗防sql注入在测试的时候,发现使用安全狗的站点,进行sql查询时,安全狗进行了拦截,但是发现可以绕过安全,获得数据库信息。
对于防护设备来说,如果在开启时,让渗透者获得的重要信息,本人就认为是已经被绕过了...测试过程如下:
bbs.siteserver.cn安装了安全狗
请求执行sql的url:
对返回数据包进行修改:
获得查询界面:
执行sql语句
常规语句安全狗进行了拦截更改测试语句
修改返回包:
获得查询结果,安全狗未被拦截...
获得查询结果,安全狗未被拦截...
在开启安全狗的情况下,可以进行执行sql查询,获得信息
修复方案:
添加规则
版权与免责声明:
凡注明稿件来源的内容均为转载稿或由网友用户注册发布,本网转载出于传递更多信息的目的;如转载稿涉及版权问题,请作者联系我们,同时对于用户评论等信息,本网并不意味着赞同其观点或证实其内容的真实性;