| SQL注入攻击将威胁操作系统安全 |
| 作者:内详 来源:网络搜集 点击数:
更新时间:2008-5-27 13:33:14 |
|
|
近来的SQL注入攻击显示,采用SQL注入的多级攻击可以提供对操作系统的交互式GUI(图形用户界面)访问。
一位欧洲的研究人员发现,SQL注入并不仅仅是为了攻击数据库和网页,这场影响范围巨大的攻击风暴也可以作为进入操作系统的垫脚石。
Portcullis计算机安全的高级渗透测试人员Alberto Revelli星期二在伦敦的EUSecWest大会上演示了一种多级攻击,它采用可以从根本上给攻击者对底层操作系统进行交互GUI方式的访问。
Revelli 也被人们称为“icesurfer”,他指出,当今的数据库管理系统都有一些工具和功能组件,可以直接与操作系统及网络联接。他说,“这意味着如果我可以通过一次SQL注入攻击一个Web应用程序,我就不只局限于存储在数据库中的数据,而且我还可以设法获得对DBMS(数据库管理系统)所在的主机的交互式访问。”
他的攻击,结合SQL注入攻击、IPS、对Web应用程序防火墙的逃避等手段,目的是为了强力破解系统管理员的口令,将Web应用程序作为其攻击的初始阶段。Revelli 说,“在这些情况中,Web应用程序是达到真正目标的一种垫脚石,也就是到达部署DBMS的主机。”在EUSec上展示之前,他一真秘密保持着一些细节。
他说,这种攻击允许攻击者在受破坏的系统上运行命令,并可以看到攻击的结果。“通常情况下,这种攻击会导致进入DOS(磁盘操作系统)提示符,它并不十分强大。我的观点是有可能再前进一步,在许多情况下会获得对远程数据库服务器桌面的图形化访问。”
Revelli将在其演示中采用微软的SQL Server作为示例,但他说,这种攻击适用于所有的数据库技术。这些弱点并不仅仅存在于数据库软件中,而且Web应用程序、防火墙规则集、其它的一些配置也使这种攻击成为可能。“构成这种攻击的每一个组成部分会利用每一个漏洞或架构不同部分的某种错误配置。”
一旦攻击者获得了对数据库的远程访问,他就可以查看文件,攫取数据,关[1] [2] 下一页
|
|
| 教程录入:yxdoor 责任编辑:yxdoor |
上一篇教程: 仿真机器狗破坏电脑安全系统
下一篇教程: 微软发布Win XP/Vista安全报告 |
| 【发表评论】【加入收藏】【告诉好友】【打印此文】【关闭窗口】 |
