如果能够无限地使用应用程序的数据库账户,就可以自由的访问其中的数据。因此,可以假设,拥有应用程序的所有数据是SQL注入攻击的最终目的。然而,许多原因表明,利用数据库中的漏洞,或者控制它的一些内置的功能以达到目的,从而进一步的攻击,可能会取得更大的成效。
成功的利用一个SQL注入漏洞往往可完全控制应用程序的所有数据。大多数应用程序仅适用一个账户访问数据库,并且依赖应用程序层控制在不同的用户间实施访问隔离。
深圳做网站公司——
深圳方与圆网络下面为大家介绍通过扩大数据库攻击范围可实施的其他攻击。
1.可以以访问其他系统。通常,数据库服务器是一个在几层网络边界防御保护下的网络中的主机。如果能够控制数据库服务器,攻击者就可处在一个可信的位置上,可以访问其他主机上的关键服务,进一步对其加以利用。
2.如果数据库被其他应用程序共享,可以通过提升数据库的使用权限访问其他应用程序的数据。
3.可以再主机基础架构与自己的计算机直接建立网络连接。这样就有可穿透许多入侵检测系统,轻易的传输数据库收集到的大量敏感信息数据,从而就可以以让攻击者完全地避开应用程序的防御。
4.可以攻破数据服务器的操作系统。
5.可以通过创建用户定义的功能任意扩充数据库的现有功能。已经获得数据库管理员的权限,就有办法在每种数据库中执行这种操作,有时,也可通过这种方法重新执行已被删除或禁用的功能,并避开数据库实施的强化保护措施。
每种数据库有有提升权限的可能性,应用可靠地强化措施能够帮助避开许多这种攻击。攻击数据是一个内容广泛的主题,上面分析的几种关键方法可以利用主要数据库的漏洞和功能扩大攻击范围。