即刻#每日一书#
7.19 SQL注入攻击与防御
SQL注入攻击与防御
这本书入手于2014年,这本书的英文版是2009年,很多人基本都是读的英文版。
本书主要是深入探讨SQL注入的问题,由多位SQL注入专家编写。对很多数据库都有深入的介绍,包括Oracle、SQLServer、MySQL和PostgreSQL数据库平台的SQL注入问题具有独到的见解。
此书也算是,唯一一本讲解SQL注入的书了,也算是做Web安全必读的一本书。 这本书如果当时有靶场,那这价值就更好了。
作为一本从入门到入狱的教程,其实这10多年,找SQL注入的难度这还是难了不少。数据多了,珍贵了,开发框架有针对性的加强防御,开发人员的培训加上各种案例的重视,找几个大厂的SQL注入还是不太容易了。不过,我也见过专门研究bypass的人,大厂SQL注入一抓一大把, 还是需要多去研究。
SQL注入的危害,大家其实都比较清楚。作为现在还排行在OWASP TOP 10 前三的类型,多数开发人员都比较重视它, 很多WAF也是会针对性的防御。
记得以前还去看过sqlmap的代码,还自己维护了一个规则库,也是蛮好的体验。很多人在测试不注意,可能就直接脱裤,这也是入门到入狱的来源。
这本书现在感觉不值得去读了,超过10年的书了,还有更新的猥琐技巧在最新的书中。
7.19 SQL注入攻击与防御
SQL注入攻击与防御
这本书入手于2014年,这本书的英文版是2009年,很多人基本都是读的英文版。
本书主要是深入探讨SQL注入的问题,由多位SQL注入专家编写。对很多数据库都有深入的介绍,包括Oracle、SQLServer、MySQL和PostgreSQL数据库平台的SQL注入问题具有独到的见解。
此书也算是,唯一一本讲解SQL注入的书了,也算是做Web安全必读的一本书。 这本书如果当时有靶场,那这价值就更好了。
作为一本从入门到入狱的教程,其实这10多年,找SQL注入的难度这还是难了不少。数据多了,珍贵了,开发框架有针对性的加强防御,开发人员的培训加上各种案例的重视,找几个大厂的SQL注入还是不太容易了。不过,我也见过专门研究bypass的人,大厂SQL注入一抓一大把, 还是需要多去研究。
SQL注入的危害,大家其实都比较清楚。作为现在还排行在OWASP TOP 10 前三的类型,多数开发人员都比较重视它, 很多WAF也是会针对性的防御。
记得以前还去看过sqlmap的代码,还自己维护了一个规则库,也是蛮好的体验。很多人在测试不注意,可能就直接脱裤,这也是入门到入狱的来源。
这本书现在感觉不值得去读了,超过10年的书了,还有更新的猥琐技巧在最新的书中。