資料庫注入技術小結
資料庫注入(Database Injection),其實質是改寫HTTP協議達到攻擊目的。
從資料庫型別分:
Oracle注入、SQL Server注入(更詳細的可能要分不同版本了)、MySQL隱碼攻擊等;
從注入技術分:
整型數注入、字串注入和搜尋型注入(還有Cookie注入和XPath注入,對這兩個沒有研究,有興趣的可以搜尋下,很早就有了這類工具了);
常見的注入判斷方法:
and 、or方法,有時使用注入“’”、“'”、“;”也會有意想不到的效果;
注入工具:
Pangolin (國內某大N開發,支援多種型別資料庫,現在已經收費,但是提供免費版,http://www.nosec.org/zh-hans/pangolin.html)
NBSI (同樣是一款不錯的資料庫注入工具,直接在網上搜尋就能夠找到下載地址)
SQLMap (這是一款開源的注入工具,在http://sqlmap.sourceforge.net/能夠找到)
SQL Injector (國外的N人開發的一款資料庫注入工具,http://www.databasesecurity.com/dbsec/sqlinjector.zip,下載時可能會有殺軟提示有病毒,我的就報了)
注入的嚴重性:
嚴重。尤其當使用SQL server時使用sa許可權建立的資料庫連線,那麼attacker可以直接執行作業系統命令。
自語
注入技術發展到現在已經非常成熟,幾乎市面上所有的資料庫都能被注入攻擊工具支援。甚至有人認為注入技術已經開始老去,其實技術無所謂老與不老,就 如多年前人們說的ASP\PHP\JSP技術一樣,技術始終就是技術,即能造福人類,也能禍害人類,關鍵看怎麼用了。注入的產生,應該是過濾不嚴造成,當 然也與開發人員的安全意識息息相關,記住,所有的輸入都可能是有害的,這是微軟得出的經驗!
原文地址:http://www.cnblogs.com/slotbeta/archive/2009/06/02/1494753.html
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/16436858/viewspace-617279/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- 向量資料庫技術全景資料庫
- 資料庫期末複習小結資料庫
- Java個人技術知識點總結(資料庫篇)Java資料庫
- Oracle、NoSQL和NewSQL 資料庫技術對比(二)- 終結OracleSQL資料庫
- 七、資料庫技術的發展及新技術資料庫
- 【封神臺】資料庫注入 wp資料庫
- MySQL資料庫注入基礎MySql資料庫
- 資料庫審計技術進化資料庫
- 分散式資料庫技術論壇分散式資料庫
- 教你資料庫漏洞防護技術資料庫
- COM 程式注入技術
- 學術檢索資料庫總結資料庫
- IOC注入技術之編譯時注入編譯
- 騰訊雲資料庫伍鑫:MPP資料庫HTAP技術探索資料庫
- python實用小技之資料結構Python資料結構
- 人大金倉&資料庫培訓小結資料庫
- 聊聊Oracle的分散式資料庫技術Oracle分散式資料庫
- 解讀圖資料庫技術路線資料庫
- 資料庫備份與恢復技術資料庫
- openGauss持續聚焦資料庫根技術資料庫
- 《大型資料庫技術》MySQL管理維護資料庫MySql
- E6 資料庫分割槽技術資料庫
- 開源資料庫大會技術分享資料庫
- 資料庫連線池技術詳解資料庫
- 從資料庫發展史看資料庫未來技術趨勢資料庫
- 【資料庫系統】資料庫系統概論====第十三章 資料庫技術發展資料庫
- 4月22日丨【雲資料庫技術沙龍】技術進化,讓資料更智慧資料庫
- 阿里分散式資料庫未來技術之路阿里分散式資料庫
- 南大通用:元宇宙資料庫技術展望元宇宙資料庫
- 崑崙分散式資料庫技術特點分散式資料庫
- 崑崙分散式資料庫技術優勢分散式資料庫
- Oracle、NoSQL和NewSQL 資料庫技術對比OracleSQL資料庫
- 分散式資料庫技術論壇回顧分散式資料庫
- 關於資料庫壓縮技術的Survey資料庫
- 前端技術分享:什麼是MongoDB資料庫?前端MongoDB資料庫
- 華為CloudNative分散式資料庫技術解析Cloud分散式資料庫
- mssql 手工注入流程小結SQL
- 技術分享 | DLL注入之遠執行緒注入執行緒
- 資料技術大融合,HSTAP資料庫有多少想象空間?資料庫