熟妇中出在线播放,91超碰国产欧美公司,国产一区二区刘玥在线观看

不僅僅統(tǒng)招學(xué)歷喲

熱門專業(yè)！
大學(xué)校園！
就業(yè)保障！
拿學(xué)歷又能高薪就業(yè)，誰(shuí)能不愛(ài)！

了解詳情>

鄭州北大青鳥翔天信鴿參加“安心學(xué)習(xí)·放心就業(yè)”公約簽約儀式

讓每一個(gè)家庭“安心”、“放心”

教學(xué)為本
師愛(ài)為魂
安心學(xué)習(xí)
放心就業(yè)

了解詳情>

北大青鳥20周年慶典與總部年會(huì)鄭州翔天信鴿榮獲7項(xiàng)榮譽(yù)

深耕細(xì)作IT職業(yè)教育15載

青鳥之星教學(xué)質(zhì)量大獎(jiǎng)
卓越風(fēng)云人物
北大青鳥中心理事會(huì)成員
七項(xiàng)榮耀載譽(yù)而行！

了解詳情>

我們教學(xué)怎么樣

實(shí)力見(jiàn)證
網(wǎng)絡(luò)組一等獎(jiǎng)
網(wǎng)絡(luò)組二等獎(jiǎng)
軟件組四等獎(jiǎng)
200家校區(qū)脫穎而出！

了解更多>

北大青鳥職業(yè)IT20周年

重承諾
守信用
放心品牌
放心學(xué)習(xí)
靠靠譜譜好就業(yè)！

了解更多>

我命由我不由天

學(xué)個(gè)性的技術(shù)
做愛(ài)做的事
掙滿意的錢
衣食無(wú)憂
選擇寬且高大尚！

了解更多>

我們靠不靠譜

14年辦學(xué)
14年磨練
14年成長(zhǎng)
14年探索
只為讓每個(gè)學(xué)員成材！

了解更多>

不打工也牛掰

好工作
好環(huán)境
高薪資
好課程
支持你成為有“錢”人！

了解更多>

學(xué)IT就讀北大青鳥

好工作
好未來(lái)
好老師
好課程
支持你成為受人尊敬的人！

數(shù)據(jù)庫(kù)審計(jì)在代碼安全檢查中有哪些應(yīng)用呢？

作者：北大青鳥添加時(shí)間：03-10 瀏覽次數(shù)：0

今天我們來(lái)探討下數(shù)據(jù)庫(kù)審計(jì)在代碼安全檢查中有哪些應(yīng)用？文章今天就為大家解決這個(gè)問(wèn)題！

問(wèn)題

代碼安全是眾多安全問(wèn)題的根源。不安全的代碼，往往能夠被攻擊者利用，從而竊取用戶隱私甚至協(xié)助攻擊者盜取商業(yè)機(jī)密。正因?yàn)槿绱�，越�?lái)越多的公司在產(chǎn)品研發(fā)階段引入了代碼安全檢查。常見(jiàn)的代碼安全檢查方法包括：人工遍歷和靜態(tài)工具掃描。但無(wú)論哪一種，都存在一定的弊端，特別是無(wú)法回避一個(gè)共同的問(wèn)題：某些漏洞無(wú)法立即驗(yàn)證——前端構(gòu)造的危險(xiǎn)SQL命令是否已經(jīng)在數(shù)據(jù)庫(kù)中執(zhí)行。

思路

本文檔以PHP+MySQL注入攻擊為例，引入數(shù)據(jù)庫(kù)審計(jì)功能，增強(qiáng)代碼安全檢查和漏洞挖掘的效率。在一個(gè)典型的Web安全架構(gòu)中，Web前端都會(huì)與后臺(tái)數(shù)據(jù)庫(kù)進(jìn)行交互。代碼審計(jì)過(guò)程中無(wú)法發(fā)現(xiàn)的隱蔽問(wèn)題，在數(shù)據(jù)庫(kù)審計(jì)日志中往往能夠得到體現(xiàn)。

策略

以典型的SQL注入為例，當(dāng)攻擊者訪問(wèn)PHP注入點(diǎn)時(shí)，往往會(huì)通過(guò)篡改參數(shù)的方式提交注入命令。如果被攻擊頁(yè)面腳本確實(shí)存在漏洞，則非法命令必定會(huì)被帶入SQL語(yǔ)句的執(zhí)行過(guò)程。因此，在開啟數(shù)據(jù)庫(kù)審計(jì)功能的情況下，完全可以借助數(shù)據(jù)庫(kù)審計(jì)日志，判斷前端SQL注入是否成功。

實(shí)現(xiàn)

下圖是一個(gè)典型的PHP + MySQL注入點(diǎn)。前端Web頁(yè)面存在SQL注入漏洞，導(dǎo)致攻擊者提交的非法表單數(shù)據(jù)被帶入SQL命令。（為方便演示，本頁(yè)面回顯了SQL語(yǔ)句。）

數(shù)據(jù)庫(kù)審計(jì)在代碼安全檢查中有哪些應(yīng)用呢？

若要通過(guò)數(shù)據(jù)庫(kù)審計(jì)日志查看SQL命令是否成功執(zhí)行，還需要在執(zhí)行該操作前配置MySQL數(shù)據(jù)庫(kù)審計(jì)功能。方法如下：

編輯MySQL配置文件mysql.ini

設(shè)置log參數(shù)為指定日志文件路徑，log=”E:/mysql.log”

修改完成后，保存配置文件并重新啟動(dòng)MySQL服務(wù)。

再次訪問(wèn)URL：http://127.0.0.1/sqlinject/sql.php，提交包含非法參數(shù)的SQL注入命令。

數(shù)分鐘后（數(shù)據(jù)庫(kù)寫日志有緩存機(jī)制，不是立即寫入），訪問(wèn)文件E:\mysql.log。可以清除地看到MySQL數(shù)據(jù)庫(kù)確實(shí)執(zhí)行了帶有非法參數(shù)的SQL命令，由此可以判斷sql.php的代碼確實(shí)存在SQL注入漏洞。

本次安全代碼檢查的過(guò)程如下圖所示，該方法同樣適合于其它類型的Web代碼安全檢查，如：ASP、JSP等；特別是那些前端不顯示

總結(jié)

本文檔為代碼審計(jì)、漏洞挖掘提供了一個(gè)有價(jià)值的參考性的思路。該思路能在一定程度上提高了代碼審計(jì)的效率和精準(zhǔn)度，但也存在一定的弊端，例如：生產(chǎn)系統(tǒng)一般不會(huì)輕易開啟審計(jì)功能，因此該方案無(wú)法應(yīng)用到生產(chǎn)環(huán)境。此外，如果網(wǎng)站應(yīng)用較多，測(cè)試過(guò)程中產(chǎn)生的數(shù)據(jù)庫(kù)日志量大，對(duì)日志進(jìn)行檢測(cè)和比對(duì)會(huì)產(chǎn)生一定的工作量。盡管如此，該方法仍然不失為有效的安全核查手段，畢竟在SQL日志中發(fā)現(xiàn)惡意數(shù)據(jù)庫(kù)命令，足以說(shuō)明前端代碼的不安全性！