mots de passe Cracking SA décryptage des mots de passe SA est également utilisé par des attaquants d'entrer dans des bases de données SQL Server. Malheureusement, dans de nombreux cas, pas de fissure est nécessaire, car aucun mot de passe a été attribué (Oh, la logique, où es-tu ?!). Pourtant, une autre utilisation de l'outil à portée de main-dandy SQLPing mentionné précédemment. Les produits commerciaux de AppDetective Application Security Inc. et NGSSQLCrack de NGS Software Ltd ont aussi cette capacité. 5.
directe exploit attaques Les attaques directes en utilisant des outils tels que Metasploit, représentées sur la figure 2, et ses équivalents commerciaux (de toile et CORE IMPACT) sont utilisés pour exploiter certaines vulnérabilités trouvées lors de l'analyse de vulnérabilité normale. Cela est généralement le hack en argent pour la assaillants pénètrent un système et de la scène l'injection de code ou d'avoir accès en ligne de commande non autorisée. Figure 2: SQL Server vulnérabilité exploitable à l'aide msfconsole de Metasploit. 6.
attaques par injection SQL de SQL injection sont exécutées via des applications Web frontaux qui ne valident pas correctement les entrées utilisateur. Requêtes SQL malformés, y compris les commandes SQL, peuvent être insérés directement dans les URL Web et renvoient des erreurs d'information, les commandes en cours d'exécution et plus encore. Ces attaques peuvent être effectuée manuellement - si vous avez beaucoup de temps.
Une fois que je découvre que le serveur dispose d'une vulnérabilité d'injection SQL potentiel, je préfère effectuer le suivi grâce à l'aide d'un outil automatisé, tels que SPI Dynamics de SQL injection, illustré à la figure 3. Figure 3: SPI Dynamics de l'outil SQL injection automatise le processus d'injection SQL. 7. injection SQL Ces attaques aveugles aller sur l'exploitation des applications Web et les serveurs SQL Server back-end de la même façon que l'inj