0
我需要一些幫助。我可以使用SQL注入來改變服務器數據庫嗎?
說我使用SQL注入方法來獲取網站的數據庫名稱,並設法從表中獲取所有數據,是否有可能更改該數據,而無需使用基本的SQL客戶端在服務器上識別?
謝謝。
(我寧願如果答案是通用於所有類型的數據庫,但如果沒有,數據庫的問題版本的MySQL)
A
回答
2
這取決於授予數據庫帳戶的權限,數據庫用戶是Web服務器用於連接到數據庫以及SQL注入漏洞的性質。
如果此漏洞的開放程度足以允許您從所有表中提取所有數據,則很可能網站易於創建和更改過程,以及對錶執行INSERT/UPDATE/DELETE操作。 (同樣的注意力不集中,並且缺乏對創建容易受SQL注入攻擊的網站的關注,這通常與致力於確定數據庫特權的同類注意力不相上下......(我只會使用「root」,或者我會使用具有對所有對象的全部權限的數據庫帳戶...)
這是完全有可能的,而且比較容易,創建一個網站,很容易受到這種注射。
(和StackOverflow的問題和答案充斥着你需要用這種方式使網站變得脆弱的代碼示例SQL注入漏洞只是冰山一角如果一個網站以這種方式是不安全的,這幾乎是給定的其他漏洞(SQL注入剛好是一個ve RY易漏洞被利用。)
而且這些不安全的模式,開發商已經習慣了......
(畢竟,這個網站我開發「僅用於開發/教育/我用/等「,」所以安全不是問題「,或者」我會在處理所有開發,調試,測試後的安全漏洞「之後解決這個問題。yada,yada,yada
...那些寫作模式不安全的代碼變得牢固。
0
您通常僅限於abilities of the statement the injection occurs in。但是,如果所謂的堆棧查詢/語句是可能的(即,一次執行多個語句),則可以注入其他語句,然後僅限用於連接到數據庫服務器的用戶的權限。
當然,您必須確保注入的片段將現有語句完成爲有效語句,否則不會執行任何語句。
相關問題
- 1. 我可以在FTP服務器上創建SQL數據庫嗎?
- 2. 可以使用libnet來注入tcp數據包/數據包嗎?
- 3. 如何從SQL Server數據庫生成PHP報告。我可以使用PHP服務器報告PHP服務嗎?
- 4. 我可以將服務注入Grails中的過濾器嗎?
- 5. 我可以使用遠程數據庫服務器配置ssl
- 6. 更改服務器的SQL數據庫
- 7. 我可以使用Firebase實時數據庫/ Firestore作爲OAuth2.0服務器嗎?
- 8. 我們可以使用數據庫服務器和Kafka等專有實例嗎?
- 9. MailMerge使用SQL服務器數據庫
- 10. 我可以使用來自其他域的teamfoundation服務器嗎?
- 11. 我可以使用SQL來建模我的數據嗎?
- 12. 我可以使用SQL,MySQL或SQLite來讀取SQL數據庫嗎?
- 13. 我可以使用sudzc更改服務器網址嗎?
- 14. 我可以不使用數據庫而只使用Rails調用Web服務嗎?
- 15. 我可以在WCF Web服務器中使用/查詢我的本地SQL數據庫服務器以開發Windows Azure雲服務嗎?
- 16. Firebird數據庫可以使用SQL Server中的鏈接服務器連接到其他數據庫嗎?
- 17. 可以使用WCF數據服務來返回文件嗎?
- 18. Sql數據庫服務器
- 19. SQL服務器作業來跟蹤數據庫更改
- 20. 是否可以在使用非MySQL數據庫的服務器上執行SQL注入?
- 21. 密碼保護SQL服務器數據庫可能嗎?
- 22. 我可以更改數據庫服務器和數據庫報告指向動態嗎?
- 23. AsyncTask可以在服務中運行並寫入數據庫嗎?
- 24. 我可以使用IBM Social Business Toolkit來使用Office365服務嗎?
- 25. 此代碼可以使SQL注入變得不可能嗎?
- 26. 可以使用silverlight standalone來製作任務服務器嗎?
- 27. 我可以使用pcap庫來接收ipv6數據包嗎?
- 28. 我可以在form中使用form.cleaned_data來查詢數據庫嗎?
- 29. 我可以在Apache Mahout中使用SQL Server數據庫嗎?
- 30. 我可以使用iOS的Sql Server數據庫嗎?
好像你想闖入一個網站... – 2014-09-28 04:45:41