黑客攻破SQL服务器系统的十种方法(2)

中华网科技 http://tech.china.com 2006-04-14 15:54:16

【进入BBS】【进入聊天室】【 推荐给朋友 】【浏览字号：大 中 小】【关闭窗口】

　　
　　4.破解SA口令

　　攻击者还可以通过破解SA口令的方法进入SQL服务器数据库。遗憾的是，在许多情况下不需要破解口令，因为没有分配口令。因此，可以使用上面提到的一种小工具SQLPing。Application安全公司的AppDetective和NGS软件公司的NGSSQLCrack等商业性工具软件也有这种功能。

　　5.直接利用安全漏洞攻击

　　使用图1显示的Metasploit等工具软件可以直接实施攻击。这种软件的商业性软件“CANVAS”和“CORE IMPACT”等能够利用在正常的安全漏洞扫描过程中发现的安全漏洞实施攻击。这是非常有效的攻击手段，攻击者可利用这种手段突破系统、从事代码注入或者取得非经授权的命令行访问权限。

　　6.SQL注入

　　SQL注入攻击可以通过没有正确验证用户输入的前端网络应用程序实施。包括SQL指令在内的异常的SQL查询可以直接注入到网络URL(统一资源定位符)中，并且返回一些错误通知，执行一些指令等等。如果你有时间的话，这些攻击可以手工实施。我一旦发现一个服务器有一个潜在的SQL注入安全漏洞，我喜欢使用一种自动的工具深入研究这个漏洞。这些工具包括图3显示的SPI Dynamics公司的SQL注入器等。

图3:SPI Dynamics公司的SQL注入器自动实施SQL注入过程。

首页 上页 | 1 | 2 | 下页 尾页  共 2 页