网站安全攻与防的启示录(5)

  • A+
所属分类:未分类

联系请致电:15378720700 河南亿恩科技有限公司,专注IDC服务13年,华中地区最大IDC服务商。
BGP新机房优惠活动正在进行中。。。期待您的加入。

2、深入攻击阶段

利用SQL注入“拖库”

在深入攻击的过程中,首先攻击者需要找到一个动态链接的URL看是否存在SQL注入漏洞,例如现在找到一个http://192.168.40.21/news.jsp?id=127,通过简单的注入尝试语句发现该URL确实存在SQL注入漏洞,攻击者一般为了节省时间都会使用工具来促进效率。

网站安全攻与防的启示录

通过工具攻击者获取到了服务器的环境变量,数据库结构,并且获取了该网站的所有用户数据,共7580条用户数据信息,这个获取用户数据的过程就是我们常说的“拖库”。

拖库:拖库一词多用于数据库程序员专业人士使用,语意:从数据库导出数据。很多时候数据库的资料需要导出来在别的地方使用,并且数据库资料可以导出好几种格式,例如:TXT,XLS等格式。黑客攻击者拖库最简单的形式就是找SQL注入点直接写工具拖。

拖库的危害:根据资料显示部分网民习惯为邮箱、微博、游戏、网上支付、购物等帐号设置相同密码,一旦数据库被泄漏,所有的用户资料被公布于众,任何人都可以拿着密码去各个网站去尝试登录,对一些敏感的金融行业是致命的危害,对普通用户可能造成财产,个人隐私的损失或泄漏。

“拖库”完成后如果还想扩大攻击范围,我们可以继续尝试其他攻击手段,获取WEBshell。

WEBshell:“web”的含义是显然需要服务器开放web服务,“shell”的含义是取得对服务器某种程度上操作权限。webshell常常被称为匿名用户(入侵者)通过网站端口对网站服务器的某种程度上操作的权限。由于webshell其大多是以动态脚本的形式出现,也有人称之为网站的后门工具。

本文出自:亿恩科技【www.enkj.com】

河南亿恩科技股份有限公司(www.enkj.com)始创于2000年,专注服务器托管19年,是国家工信部认定的综合电信服务运营商。亿恩为近五十万的用户提供服务器托管、服务器租用、机柜租用、云服务器、网站建设等网络基础服务,另有网总管、名片侠网络推广服务,使得客户不断的获得更大的收益。 服务热线:400-723-6868 服务器/云主机 24小时售后服务电话:0371-60135900 虚拟主机/智能建站 24小时售后服务电话:0371-55621053
广告也精彩
avatar

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: