SQL 注入是对数据库系统最常见的威胁。它会导致非常安全或机密的数据丢失。这只不过是对数据系统或帐户的未经授权的访问。
以下是与 SQL 注入相关的风险:
- 通过身份验证:
在渗透测试期间最重要的是关注绕过身份验证,因为攻击者可以像授权用户一样访问数据库,并且可以在数据库上执行他想要的任务。 - 确定注射参数:
攻击者将收集有关 Web 应用程序后端数据库结构的信息,并将动态内容包含在网站中。这可能会导致访问者安装恶意代码并可能重定向到恶意站点。 - 执行远程命令:
执行这些远程命令将为攻击者提供在数据库上执行任意命令的工具。例如,远程用户可以从远程 SQL 交互界面执行存储的数据库过程和函数。
- 拒绝服务:
攻击者可以用请求淹没服务器,以便他有权停止对有效用户的服务,或者他可以删除一些数据。 - 数据库指纹:
攻击者可以确定后端使用的数据库类型,以便他可以使用与特定 DBMS 中的弱点相对应的特定于数据库的攻击。