如果能夠無(wú)限地使用應(yīng)用程序的數(shù)據(jù)庫(kù)賬戶，就可以自由的訪問(wèn)其中的數(shù)據(jù)。因此，可以假設(shè)，擁有應(yīng)用程序的所有數(shù)據(jù)是SQL注入攻擊的最終目的。然而，許多原因表明，利用數(shù)據(jù)庫(kù)中的漏洞，或者控制它的一些內(nèi)置的功能以達(dá)到目的，從而進(jìn)一步的攻擊，可能會(huì)取得更大的成效。
成功的利用一個(gè)SQL注入漏洞往往可完全控制應(yīng)用程序的所有數(shù)據(jù)。大多數(shù)應(yīng)用程序僅適用一個(gè)賬戶訪問(wèn)數(shù)據(jù)庫(kù)，并且依賴應(yīng)用程序?qū)涌刂圃诓煌挠脩糸g實(shí)施訪問(wèn)隔離。深圳做網(wǎng)站公司——創(chuàng)新互聯(lián)下面為大家介紹通過(guò)擴(kuò)大數(shù)據(jù)庫(kù)攻擊范圍可實(shí)施的其他攻擊。
1.可以以訪問(wèn)其他系統(tǒng)。通常，數(shù)據(jù)庫(kù)服務(wù)器是一個(gè)在幾層網(wǎng)絡(luò)邊界防御保護(hù)下的網(wǎng)絡(luò)中的主機(jī)。如果能夠控制數(shù)據(jù)庫(kù)服務(wù)器，攻擊者就可處在一個(gè)可信的位置上，可以訪問(wèn)其他主機(jī)上的關(guān)鍵服務(wù)，進(jìn)一步對(duì)其加以利用。
2.如果數(shù)據(jù)庫(kù)被其他應(yīng)用程序共享，可以通過(guò)提升數(shù)據(jù)庫(kù)的使用權(quán)限訪問(wèn)其他應(yīng)用程序的數(shù)據(jù)。
3.可以再主機(jī)基礎(chǔ)架構(gòu)與自己的計(jì)算機(jī)直接建立網(wǎng)絡(luò)連接。這樣就有可穿透許多入侵檢測(cè)系統(tǒng)，輕易的傳輸數(shù)據(jù)庫(kù)收集到的大量敏感信息數(shù)據(jù)，從而就可以以讓攻擊者完全地避開應(yīng)用程序的防御。
4.可以攻破數(shù)據(jù)服務(wù)器的操作系統(tǒng)。
5.可以通過(guò)創(chuàng)建用戶定義的功能任意擴(kuò)充數(shù)據(jù)庫(kù)的現(xiàn)有功能。已經(jīng)獲得數(shù)據(jù)庫(kù)管理員的權(quán)限，就有辦法在每種數(shù)據(jù)庫(kù)中執(zhí)行這種操作，有時(shí)，也可通過(guò)這種方法重新執(zhí)行已被刪除或禁用的功能，并避開數(shù)據(jù)庫(kù)實(shí)施的強(qiáng)化保護(hù)措施。
每種數(shù)據(jù)庫(kù)有有提升權(quán)限的可能性，應(yīng)用可靠地強(qiáng)化措施能夠幫助避開許多這種攻擊。攻擊數(shù)據(jù)是一個(gè)內(nèi)容廣泛的主題，上面分析的幾種關(guān)鍵方法可以利用主要數(shù)據(jù)庫(kù)的漏洞和功能擴(kuò)大攻擊范圍。

網(wǎng)頁(yè)名稱：深圳做網(wǎng)站談除了SQL注入外擴(kuò)大數(shù)據(jù)庫(kù)攻擊范圍
文章起源：http://m.2m8n56k.cn/news/164751.html

網(wǎng)站建設(shè)、網(wǎng)絡(luò)推廣公司-創(chuàng)新互聯(lián)，是專注品牌與效果的網(wǎng)站制作，網(wǎng)絡(luò)營(yíng)銷seo公司；服務(wù)項(xiàng)目有做網(wǎng)站等

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：[email protected]。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來(lái)源： 創(chuàng)新互聯(lián)