ITPub博客

首页 > Linux操作系统 > Linux操作系统 > 数据库注入技术小结

数据库注入技术小结

原创 Linux操作系统 作者:iSQlServer 时间:2009-10-23 13:51:38 0 删除 编辑

数据库注入(Database Injection),其实质是改写HTTP协议达到攻击目的。

从数据库类型分

Oracle注入、SQL Server注入(更详细的可能要分不同版本了)、MySQL注入等;

从注入技术分

整型数注入、字符串注入和搜索型注入(还有Cookie注入和XPath注入,对这两个没有研究,有兴趣的可以搜索下,很早就有了这类工具了);

常见的注入判断方法

and 、or方法,有时使用注入“’”、“'”、“;”也会有意想不到的效果;

注入工具:

Pangolin (国内某大N开发,支持多种类型数据库,现在已经收费,但是提供免费版,http://www.nosec.org/zh-hans/pangolin.html

NBSI  (同样是一款不错的数据库注入工具,直接在网上搜索就能够找到下载地址)

SQLMap (这是一款开源的注入工具,在http://sqlmap.sourceforge.net/能够找到)

SQL Injector  (国外的N人开发的一款数据库注入工具,http://www.databasesecurity.com/dbsec/sqlinjector.zip,下载时可能会有杀软提示有病毒,我的就报了)

注入的严重性:

严重。尤其当使用SQL server时使用sa权限创建的数据库连接,那么attacker可以直接执行操作系统命令。

自语

注入技术发展到现在已经非常成熟,几乎市面上所有的数据库都能被注入攻击工具支持。甚至有人认为注入技术已经开始老去,其实技术无所谓老与不老,就 如多年前人们说的ASP\PHP\JSP技术一样,技术始终就是技术,即能造福人类,也能祸害人类,关键看怎么用了。注入的产生,应该是过滤不严造成,当 然也与开发人员的安全意识息息相关,记住,所有的输入都可能是有害的,这是微软得出的经验!


原文地址:http://www.cnblogs.com/slotbeta/archive/2009/06/02/1494753.html

来自 “ ITPUB博客 ” ,链接:http://blog.itpub.net/16436858/viewspace-617279/,如需转载,请注明出处,否则将追究法律责任。

请登录后发表评论 登录
全部评论

注册时间:2008-10-17

  • 博文量
    1319
  • 访问量
    2074226