<返回更多

web渗透测试——数据库攻击技巧整理

2020-08-06    
加入收藏

数据库是一个网站最重要的组成部分,它存储着整个站点许多重要的信息,包括:用户登录信息、配置信息、用户存储的信息等,攻击者从开始的信息收集到发现利用漏洞再到最后提高权限,最终目的就是获取用户的敏感数据,如果可以直接攻击网站数据库,并获得里边的重要数据,无疑是一种快捷的攻击方式,下面我就介绍一些比较常见的数据库的攻击技巧。

MySQL数据库

MySQL 数据库是目前世界上使用最为广泛的数据库之一,很多著名公司和站点都使用 MySQL 作为其数据库支撑,目前很多架构都以 MySQL 作为数据库管理系统。

web渗透测试——数据库攻击技巧整理

MySQL

MSSQL数据库

MSSQL数据库是微软开发的一款数据库系统,也只在windows系统中运行,因此 Windows系统+IIS服务+.net编程语言+MS Sql Server数据库就是其常用的组合,MSSQL数据库的这个特性也限制了它的推广,尤其是在windows以外的系统上。

web渗透测试——数据库攻击技巧整理

MSSQL

Oracle数据库

Oracle数据库是甲骨文公司的一款关系数据库管理系统。它是在数据库领域一直处于领先地位的产品。可以说Oracle数据库系统是目前世界上流行的关系数据库管理系统,系统可移植性好、使用方便、功能强,适用于各类大、中、小、微机环境。它是一种高效率、可靠性好的、适应高吞吐量的数据库方案。

web渗透测试——数据库攻击技巧整理

Oracle

PostgreSQL数据库

PostgreSQL是一种特性非常齐全的自由软件的对象–关系型数据库管理系统,可以说是目前世界上最先进,功能最强大的自由数据库管理系统。包括kali系统中msf也使用这个数据库;浅谈postgresql数据库攻击技术 大部分关于它的攻击依旧是sql注入,所以注入才是数据库不变的话题。

web渗透测试——数据库攻击技巧整理

PostgreSQL

MongoDB数据库

Mongodb,分布式文档存储数据库,由C++语言编写,旨在为WEB应用提供可扩展的高性能数据存储解决方案。MongoDB是一个高性能,开源,无模式的文档型数据库,是当前NoSql数据库中比较热门的一种。它在许多场景下可用于替代传统的关系型数据库或键/值存储方式。

web渗透测试——数据库攻击技巧整理

MongoDB

redis数据库

Redis是一个开源的使用C语言写的,支持网络、可基于内存亦可持久化的日志型、key-value数据库。关于这个数据库这两年还是很火的,暴露出来的问题也很多。特别是前段时间暴露的未授权访问。

web渗透测试——数据库攻击技巧整理

Redis数据库

SysBase数据库

SysBase数据库是由Sybase公司推出的数据库产品。SYBASE主要有三种版本,一是UNIX操作系统下运行的版本,二是Novell Netware环境下运行的版本,三是Windows NT环境下运行的版本。

web渗透测试——数据库攻击技巧整理

SysBase

DB2 数据库

DB2 数据库是美国IBM公司发展的一套关系型数据库管理系统。它主要的执行环境为UNIX(包括IBM自家的AIX)、Linux、IBM i(旧称OS/400)、z/OS,以及Windows服务器版本。

web渗透测试——数据库攻击技巧整理

DB2

以上就是我整理的常见数据库的攻击技巧,可以看出弱口令几乎是所有数据库都存在的漏洞,这并不是数据库本身的问题,而是网站运维者为了方便管理,一般都不会给网站数据库设置复杂的密码,有的甚至从网站开始服务起,就一直使用数据库的默认密码,这样不但方便了自己运维,更方便了攻击者对网站后台数据的窃取,希望网站管理者加以重视,避免这种情况的出现。

声明:本站部分内容来自互联网,如有版权侵犯或其他问题请与我们联系,我们将立即删除或处理。
▍相关推荐
更多资讯 >>>