扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
作者:Kevin Beaver 来源:赛迪论坛 2007年9月16日
关键字: 攻击 数据库 SQL Server SQL Server 各版本
SQL注入是一种安全漏洞。攻击者可以利用这个安全漏洞向网络表格输入框中添加SQL代码以获得访问权。手工测试SQL注入的方法过去一直是确定数据库是否存在安全漏洞的惟一方法。挖掘返回的错误信息、增加省略符号并且设法猜测数据库结构信息是一项长期的和艰苦的过程。而且,这并不能保证你发现所有的SQL注入安全漏洞,很少能够查看或者提取数据。
现在,有一些工具能够实施AQL注入攻击。一些免费的和商业性的黑客工具都能够实施这种攻击。 如果你有一个连接到后端数据库的Web前端,允许ASP、ASP、.NET、CGI和类似的脚本语言支持的动态用户输入,你就可能遭到SQL注入攻击。你能做的就是以道德黑客(ethical hacking)的方式对你自己的系统实施自动的SQL注入攻击,以便发现能够在外部攻破什么东西。不要选择这个或者省略那个,让你的工具为你做工作。 这是以自动的方式测试你的系统的AQL注入安全漏洞的两个步骤。我在这里简单介绍一下这个过程。 第一步:扫描安全漏洞 首先,你必须使用一个Web应用程序安全漏洞扫描器扫描逆的网站,看看是否存在任何输入过滤或者其它具体的SQL注入安全漏洞。由于我的时间总是很紧张并且需要良好的报告功能,我喜欢使用商用工具,如N-Stealth安全扫描器、Acunetix公司的Web安全漏洞扫描器和(我最喜欢的)SPI Dynamics WebInspect。Wikto等免费的工具通常也能发现这些安全漏洞。 第二步:开始SQL注入 一旦你确定你的目标系统是否存在SQL注入安全漏洞,你的下一个步骤就是实施SQL注入过程并且确定能够从数据库中搜集到什么。请注意,我不建议注入实际的数据或者试图投放数据库表格,这两种做法对于你的数据库的安全是有害的。发现潜在的SQL注入漏洞是一回事,以自动的方式实际实施攻击是另一回事。 |
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。
现场直击|2021世界人工智能大会
直击5G创新地带,就在2021MWC上海
5G已至 转型当时——服务提供商如何把握转型的绝佳时机
寻找自己的Flag
华为开发者大会2020(Cloud)- 科技行者