摘要: 漏洞扩展:xp_dirtree储存过程 事前:最近发现一个漏洞是sql服务器造成的,前几天正好没有什么事情,就用阿d的sql注入工具对自己服务器的网站进行注入,偶然发现了使用mssql的网站浸染可以利用sql注入的形式得到整个服务器上所有目录(我的服务器作了安全设置的)依然可以看见,然后在服务器上安装了一个抓包工具对sql server进行抓包发现,使用工具连接sql漏洞xp... 阅读全文
posted @ 2008-12-27 22:39 梦想天空(山边小溪) 阅读(1140) 评论(0) 推荐(0) 编辑
摘要: SQL Server 数据库在企业中的应用越来越多,安全性显得越来越突出。特别是最近一段时间以来,一种新的网络攻击技术开始在Internet上快速流行,那就是“SQL Injection”,俗称“脚本注入式攻击”,只要被不法分子盯上的系统,恰好您使用的数据库是SQL Server 2000的话,那么被成功入侵的概率高达90%。 如何加强数据库的安全呢?本文将向您全面介绍保护SQ... 阅读全文
posted @ 2008-12-27 21:09 梦想天空(山边小溪) 阅读(2196) 评论(0) 推荐(0) 编辑
摘要: 一、关闭和恢复xp_cmdshell命令 一般的黑客攻击SQL Server时,首先采用的方法是执行master扩展存储过程xp_cmdshell命令来破坏数据库,为了数据库安全起见,最好禁止使用xp_cmdShell,xp_cmdshell可以让系统管理员以操作系统命令行解释器的方式执行给定的命令字符串并以文本行方式返回任何输出,是一个功能非常强大的扩展存贮过程。 一般... 阅读全文
posted @ 2008-12-27 00:06 梦想天空(山边小溪) 阅读(3194) 评论(0) 推荐(0) 编辑