type
status
date
slug
summary
tags
category
icon
password
动态字符串构建引起
- 不正确的处理转义字符(宽字节注入)
- 不正确的处理错误(报错泄露信息)
- 不正确的处理联合查询
- 不正确的处理多次提交(二次注入)
后台存在的问题
- 后台无过滤或者编码用户数据
- 数据库可以拼接用户传递的恶意代码
错误处理不当
- 详细的内部错误消息显示给用户或攻击者
- 错误信息可以直接给攻击者提供下一步攻击帮助
不安全的数据库配置
默认账户
SQL Server “sa” 作为数据库系统管理员账户;
MySQL使用 ”root“ 和 ”anonymous“ 用户账户;
Oracle则在创建数据库时通常默认会创建SYS,SYSTEMES DBSNMP和OUTLN账户。
权限
问题:系统和数据库管理员在安装数据库服务器时允许以root SYSTEM或Administrator特权系统用户账户身份执行操作。
正确方法:应该始终以普通用户身份运行服务器上的服务,减低用户权限,将用户权限只限于本服务。
- Author:KingCode
- URL:https://kingcode.dpdns.org/article/b0df9c13-ce9f-4518-842b-d51ea068b61f
- Copyright:All articles in this blog, except for special statements, adopt BY-NC-SA agreement. Please indicate the source!
