随着愈来愈多的企业在互联网上上线服务,信息安全也变得愈来愈重要。作为区别数据库的利用企业,MSSQL也开始成为黑客们的攻击目标。不管是从企业攻击行动或者个人角度,攻击者都会对MSSQL服务器的安全性进行挑战。其中,一种最多见的MSSQL攻击方式就是盲注攻击。
甚么是盲注攻击?盲注攻击是指攻击者在不能查看响应结果的情况下发送一系列查询语句,而这些查询语句是基于逻辑分析或推断而构成的,来到达获得服务器端数据或基于数据库语句构建歹意攻击的目的。
一般来讲,盲注攻击都是以脚本情势实行,攻击者不断地尝试猜想输入的内容以期获得敏感信息。下面以一个实际的脚本为例,介绍盲注攻击的基本思路:
SET ANSI_NULLS ON
GO
SET QUOTED_IDENTIFIER ON
GO
DECLARE @q VARCHAR(255)
DECLARE @p VARCHAR(255)
SET @q=’SELECT版本()’
WHILE @q IS NOT NULL
BEGIN
EXEC (@q)
IF @p != ”
SET @q = N’IF(版本() LIKE ”’+@p+”’) WAITFOR DELAY ”00:00:01”’
ELSE
SET @q = NULL
END
从上面的代码可以看出,脚本实现盲注攻击的基本思路是:先把要猜想的变量(在这里是数据库版本)赋值给一个变量,然后使用循环,不断地尝试猜想输入的内容,如果猜想的内容符合要求,就能够获得到敏感的信息;如果猜想的内容不正确,就不断地改变变量的赋值,尝试下一次猜想,直到获得到期望的结果。
在MSSQL数据库上,盲注攻击可以用来盗取数据库内部的数据,猜想数据库账号信息,乃至是更改数据库中的记录。因此,MSSQL数据库的安全防御一定要引发足够的重视,尽可能避免黑客利用盲注攻击法对数据库进行攻击。数据库管理员可以为MSSQL数据库添加事件监控,并通过相关的安全策略来减缓这类攻击的可能性,比如制止系统中没必要要的存储进程和功能,和添加口令安全验证。
总之,MSSQL数据库安全的重要性是不可忽视的,很多网络和信息系统都直接或间接依赖于它。企业对MSSQL数据库的安全防御应当加强审查,以避免产生盲注攻击而引发数据安全风险。
本文来源:https://www.yuntue.com/post/228629.html | 云服务器网,转载请注明出处!
微信扫一扫打赏
支付宝扫一扫打赏
