白帽子曝光：绕过防护，成功进行 SQL 注入二次注入攻击！

白帽子曝光：绕过防护，成功进行 SQL 注入二次注入攻击！
诱发二次注入的一种攻击方式
SQL 注入，是指在应用程序对用户输入的数据没有正确过滤的情况下，攻击者通过输入恶意的 SQL 语句来执行一系列数据库操作。不过，对于具备一定的技术水平的黑客，只进行一次注入并不复杂。而要获取更多有价值的信息，他们往往会使用一种攻击方式，即二次注入攻击。
二次注入方式的具体实现
在经历了一次注入之后，如无特殊情况发生，系统可能会关闭相应的通道，或对相应的数据进行过滤处理。然而，只有进行恰当、彻底的过滤处理，才能避免黑客们的进一步攻击。因此，一些成熟的黑客，往往通过加密、转义或混淆等方式，绕过防护，成功进行 SQL 注入二次注入攻击。
常见的攻击方式
常见的攻击方式有：使用爆破工具，爆破所有可能入侵的点；粘贴 cookie、session 等数据，让系统相信攻击者是合法用户；和替换敏感函数，以达到注入数据的目的。
如何防范二次注入攻击
加强程序的安全性与用户输入数据的过滤处理，是避免 SQL 注入攻击的有效手段。通常应采用以下策略：使用正则表达式或 Black / White List 过滤将所有输入数据反复进行输入验证，在调用数据库操作前，对所有可能存在注入点的参数进行过滤处理，对输入数据进行转义或加密操作等等。
面对 SQL 注入攻击，白帽子们的应对之策
白帽子是互联网安全行业中反黑客的人群，他们会较早的通过相关技术和手段，提前寻找并发现风险隐患。一旦发现 SQL 注入的风险，他们会尝试使用各种方法对漏洞进行攻击，了解攻击的缺陷，掌握汲取经验，不断提升自身安装防护的能力。
总结
SQL 注入属于目前最常见的攻击手段之一，若操作不当，会给用户的数据和安全带来严重的威胁。针对二次注入攻击，正确的预防方式应为及时加强对于程序安全性与用户输入数据的过滤处理。更为重要的是，这需要程序员们应提高安全意识、加强安全教育和培训。