聯系請致電:15378720700 河南億恩科技有限公司,專注IDC服務13年����,華中地區(qū)最大IDC服務商。
BGP新機房優(yōu)惠活動正在進行中�����。�����。。期待您的加入�。
2、深入攻擊階段
利用SQL注入“拖庫”
在深入攻擊的過程中�����,首先攻擊者需要找到一個動態(tài)鏈接的URL看是否存在SQL注入漏洞���,例如現在找到一個http://192.168.40.21/news.jsp?id=127,通過簡單的注入嘗試語句發(fā)現該URL確實存在SQL注入漏洞�����,攻擊者一般為了節(jié)省時間都會使用工具來促進效率。
通過工具攻擊者獲取到了服務器的環(huán)境變量���,數據庫結構����,并且獲取了該網站的所有用戶數據�,共7580條用戶數據信息�,這個獲取用戶數據的過程就是我們常說的“拖庫”。
拖庫:拖庫一詞多用于數據庫程序員專業(yè)人士使用���,語意:從數據庫導出數據。很多時候數據庫的資料需要導出來在別的地方使用�����,并且數據庫資料可以導出好幾種格式��,例如:TXT��,XLS等格式��。黑客攻擊者拖庫最簡單的形式就是找SQL注入點直接寫工具拖。
拖庫的危害:根據資料顯示部分網民習慣為郵箱�、微博�����、游戲、網上支付����、購物等帳號設置相同密碼,一旦數據庫被泄漏�,所有的用戶資料被公布于眾��,任何人都可以拿著密碼去各個網站去嘗試登錄��,對一些敏感的金融行業(yè)是致命的危害�,對普通用戶可能造成財產��,個人隱私的損失或泄漏���。
“拖庫”完成后如果還想擴大攻擊范圍��,我們可以繼續(xù)嘗試其他攻擊手段�,獲取WEBshell�����。
WEBshell:“web”的含義是顯然需要服務器開放web服務�,“shell”的含義是取得對服務器某種程度上操作權限����。webshell常常被稱為匿名用戶(入侵者)通過網站端口對網站服務器的某種程度上操作的權限�����。由于webshell其大多是以動態(tài)腳本的形式出現�,也有人稱之為網站的后門工具。
本文出自:億恩科技【www.riomediacenter.com】
服務器租用/服務器托管中國五強����!虛擬主機域名注冊頂級提供商�����!15年品質保障�����!--億恩科技[ENKJ.COM]
|
香港服務器租用
美國服務器租用
電信骨干機房
聯通骨干機房
0371-60135900
