下列哪些选项属于SQL注入的危害?
展开全部
SQL注入的危害
数据库信息泄漏:数据库中存放的用户的隐私信息的泄露。
网页篡改:通过操作数据库对特定网页进行篡改。
网站被挂马,传播恶意软件:修改数据库一些字段的值,嵌入网马链接,进行挂马攻击。
数据库被恶意操作:数据库服务器被攻击,数据库的系统管理员帐户被窜改。
服务器被远程控制,被安装后门。经由数据库服务器提供的操作系统支持,让黑客得以修改或控制操作系统。
破坏硬盘数据,瘫痪全系统
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
展开全部
除了C,其它均是。
可以通过注入来猜测表名,字段名,字段类型,包含的数据;
例:对mssql数据库通过注入猜测表名
cname="' and exists(select * from sysobjects where name='abc'--"
cmd="select * from aaa where name='"+cname+"'"
可以通过注入来执行预期之外的增删改指令
例:同样是主述cmd
cname="'or (1=1) delete from abc--"
可以执行通过注入执行系统命令
cname="'or(1=1) ;exec xp_cmdshell 'shutdown /s /t 30'--"
比如使用xp_cmdshell在服务端执行系统命令,这包括一些管理命令或者下载文件、安装程序、启动服务。
而C不是也就是这一点,注入攻击的动作始终工作在数据库服务的权限下,要获取服务器权限或者提权,需要通过额外的方式进行,比如通过xp_cmdshell下载一下一个远程shell终端并作为服务启动,然后登录此终端进行进一步攻击,进行提权等操作。通过注入能做的事情是有限的,并且是被限定在数据库服务使用的服务帐号的权限之内的。
可以通过注入来猜测表名,字段名,字段类型,包含的数据;
例:对mssql数据库通过注入猜测表名
cname="' and exists(select * from sysobjects where name='abc'--"
cmd="select * from aaa where name='"+cname+"'"
可以通过注入来执行预期之外的增删改指令
例:同样是主述cmd
cname="'or (1=1) delete from abc--"
可以执行通过注入执行系统命令
cname="'or(1=1) ;exec xp_cmdshell 'shutdown /s /t 30'--"
比如使用xp_cmdshell在服务端执行系统命令,这包括一些管理命令或者下载文件、安装程序、启动服务。
而C不是也就是这一点,注入攻击的动作始终工作在数据库服务的权限下,要获取服务器权限或者提权,需要通过额外的方式进行,比如通过xp_cmdshell下载一下一个远程shell终端并作为服务启动,然后登录此终端进行进一步攻击,进行提权等操作。通过注入能做的事情是有限的,并且是被限定在数据库服务使用的服务帐号的权限之内的。
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
展开全部
C。。。。SQL注入是从正常的WWW端口访问,而且表面看起来跟一般的Web页面访问 防止SQL注入攻击 没什么区别,所以目前市面的防火墙都不会对SQL注入发出警报,如果管理员没查看ⅡS日志的习惯,可能被入侵很长时间都不会发觉。但是,SQL注入的手法相当灵活,在注入的时候会碰到很多意外的情况,需要构造巧妙的SQL语句,从而成功获取想要的数据。
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
展开全部
选择ABD
C没有的,不可能改变服务器的权限。
C没有的,不可能改变服务器的权限。
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
更多回答(2)
推荐律师服务:
若未解决您的问题,请您详细描述您的问题,通过百度律临进行免费专业咨询
