2. 질의 응답
  3. Sql 삽입 취약점

Sql 삽입 취약점

2012-02-03 2 views
1

저는 hax0r 정도는 아니지만 사장님이 웹 사이트를 가지고 있고 SQL 주입 공격에 취약하다는 말을 전했습니다. 그는 모든 정보가 공개되어 있기 때문에 위험하지 않다고 대답했다. 그래서 나는 그에게 테이블을 떨어 뜨릴 가능성이 있다고 말했다.Sql 삽입 취약점

일반적으로 DROP 테이블 명령이 작동합니다.이 경우 왜 누군가가 말해 줄 수 있습니까? 참고 :이 데이터베이스에는 정보가 아니라 뉴스 만 저장됩니다! 내가 여기 없어, IRC 채널에있을 것이다 해킹하는 방법을 알고 싶다면 

news.php?id=-99%20union%20all%20select%201,2,3,4,5%20from%20information_schema.columns%20where%20table_schema=0x656e6469616d615--

하십시오

는 hax0r 증오 의견 회신하지 마십시오.

편집 : 데이터베이스 편집이 안전하다면 나는 그가 옳다고 생각합니다. 그는 SQL 쿼리를 공개 할 수는 있지만 위험성이 실제로 있다는 것을 보여주는 목적을 무력화시킵니다.

출처

2012-02-03 Souza

+2

SQL을 실행하는 코드를 표시해야합니다 –

+0

내 상사가 심각하게 생각하지 않는다고 생각합니다. 웹 사이트가 실제로 안전하기 때문에 프리랙은 데이터베이스 쿼리 형식에 액세스 할 수 없기 때문입니다. 열 이름, 테이블 이름 및 데이터베이스 이름을 찾았습니다. 웹 사이트가 정보에 안전하다는 사실을 내 상사에게 알릴 수 있습니까? – Souza

+0

@KerrekSB - 네가 웹 사이트를 좋아한다고 들었으므로 웹 사이트에 웹 사이트를 추가하여 웹 사이트에있는 동안 웹 사이트를 좋아할 수 있습니다. – JNK

답변

10

SQL 인젝션에서 열 이름을 감지 할 수 있다면 위반할 수 있음을 의미합니다.

이것은 또한 당신이 쉽게 웹 페이지를 공격하여 모든 구조, 사용자, 데이터 등을 탐지 할 수 있음을 의미합니다. 그래서 예, 사이트가 취약하며 "내 데이터가 공개이므로 상관 없어요 "...

해커는 데이터베이스에 데이터를 삽입하고 피싱을 만들고 데이터베이스에 삽입하는 XSS 공격으로부터 데이터를 훔칠 수 있습니다. 이것을 심각하게 받아들이는 이유는 많습니다. SQL 주입은 해커가 데이터를 읽을 수 있다는 의미는 아니며 심각한 손상을 초래할 수 있습니다. ...

출처

2012-02-03 15:28:56

+0

나를 두들겨라. :) – Seidr

+0

감사합니다 마티유, 실제로이 데이터베이스는 중요 정보가 아닌 뉴스 만 저장하지만 편집 가능한 경우 매우 나쁩니다. 그 대답은 매우 계몽적이었습니다. 만약 당신이 내 말처럼 당신의 말을 사용하길 바랍니다. P, 나는 당신에게 필요한 점수를 줄 것입니다. – Souza

3

나는 정보의 공개를 위험으로 간주합니다. 현재 문제가 해결되지 않으면 어떻게 될까요? 미래에/더 민감한 정보가 해당 데이터베이스에 배치 될 때? 기존 데이터가 악의적 인 방식으로 수정되면 어떻게 될까요?

SQL 인젝션은 매우 쉽게 보호 할 수 있으며 가능한 취약성을 알고있는 경우 중요하다고 간주되는 것에 관계없이 최대한 빨리 수정해야합니다. 그냥 내 2c.

출처

2012-02-03 15:29:51 Seidr

0

SQL 사용자가 SELECT 권한에만 액세스 할 수있는 경우 SQL 주입은 문제가되지 않습니다. 다른 모든 권한은 보안 위협 일 수 있습니다 (Particullarly DROP, INSERT 또는 DELETE).

개인적으로 SQL 인젝션에 대해 모든 것을 보호하고 SQL 사용자에게 방어를 제공하는 기능을 제한하는 privilleges를 적용합니다.

데이터가 민감하지 않더라도 SQL 주입은 피싱 공격, 사기 및 취약한 웹 사이트에 표시되는 불법 콘텐츠로 이어질 수 있습니다. 안좋다.

출처

2012-02-23 16:11:39

관련 문제

 관련 문제