数据库是一个网站最重要的组成部分,它存储着整个站点许多重要的信息,包括:用户登录信息、配置信息、用户存储的信息等,攻击者从开始的信息收集到发现利用漏洞再到最后提高权限,最终目的就是获取用户的敏感数据,如果可以直接攻击网站数据库,并获得里边的重要数据,无疑是一种快捷的攻击方式,下面我就介绍一些比较常见的数据库的攻击技巧。
MySQL 数据库是目前世界上使用最为广泛的数据库之一,很多著名公司和站点都使用 MySQL 作为其数据库支撑,目前很多架构都以 MySQL 作为数据库管理系统。
MySQL
MSSQL数据库是微软开发的一款数据库系统,也只在windows系统中运行,因此 Windows系统+IIS服务+.net编程语言+MS Sql Server数据库就是其常用的组合,MSSQL数据库的这个特性也限制了它的推广,尤其是在windows以外的系统上。
MSSQL
Oracle数据库是甲骨文公司的一款关系数据库管理系统。它是在数据库领域一直处于领先地位的产品。可以说Oracle数据库系统是目前世界上流行的关系数据库管理系统,系统可移植性好、使用方便、功能强,适用于各类大、中、小、微机环境。它是一种高效率、可靠性好的、适应高吞吐量的数据库方案。
Oracle
PostgreSQL是一种特性非常齐全的自由软件的对象–关系型数据库管理系统,可以说是目前世界上最先进,功能最强大的自由数据库管理系统。包括kali系统中msf也使用这个数据库;浅谈postgresql数据库攻击技术 大部分关于它的攻击依旧是sql注入,所以注入才是数据库不变的话题。
PostgreSQL
Mongodb,分布式文档存储数据库,由C++语言编写,旨在为WEB应用提供可扩展的高性能数据存储解决方案。MongoDB是一个高性能,开源,无模式的文档型数据库,是当前NoSql数据库中比较热门的一种。它在许多场景下可用于替代传统的关系型数据库或键/值存储方式。
MongoDB
Redis是一个开源的使用C语言写的,支持网络、可基于内存亦可持久化的日志型、key-value数据库。关于这个数据库这两年还是很火的,暴露出来的问题也很多。特别是前段时间暴露的未授权访问。
Redis数据库
SysBase数据库是由Sybase公司推出的数据库产品。SYBASE主要有三种版本,一是UNIX操作系统下运行的版本,二是Novell Netware环境下运行的版本,三是Windows NT环境下运行的版本。
SysBase
DB2 数据库是美国IBM公司发展的一套关系型数据库管理系统。它主要的执行环境为UNIX(包括IBM自家的AIX)、Linux、IBM i(旧称OS/400)、z/OS,以及Windows服务器版本。
DB2
以上就是我整理的常见数据库的攻击技巧,可以看出弱口令几乎是所有数据库都存在的漏洞,这并不是数据库本身的问题,而是网站运维者为了方便管理,一般都不会给网站数据库设置复杂的密码,有的甚至从网站开始服务起,就一直使用数据库的默认密码,这样不但方便了自己运维,更方便了攻击者对网站后台数据的窃取,希望网站管理者加以重视,避免这种情况的出现。
京公网安备 11010802035086号