網(wǎng)絡(luò)攻防�,一個(gè)是攻,一個(gè)是防
為什么在網(wǎng)絡(luò)攻防里數(shù)據(jù)庫(kù)重要��?為什么我們要學(xué)數(shù)據(jù)庫(kù)���?
下面我從攻擊方角度和防守方角度分別來(lái)詮釋學(xué)習(xí)數(shù)據(jù)庫(kù)的重要性
首先我們看看��,
數(shù)據(jù)庫(kù)是什么���?
數(shù)據(jù)庫(kù)是“按照數(shù)據(jù)結(jié)構(gòu)來(lái)組織、存儲(chǔ)和管理數(shù)據(jù)的倉(cāng)庫(kù)”��。是一個(gè)長(zhǎng)期存儲(chǔ)在計(jì)算機(jī)內(nèi)的��、有組織的��、有共享的����、統(tǒng)一管理的數(shù)據(jù)集合���。
數(shù)據(jù)庫(kù)是以一定方式儲(chǔ)存在一起���、能與多個(gè)用戶(hù)共享��、具有盡可能小的冗余度�、與應(yīng)用程序彼此獨(dú)立的數(shù)據(jù)集合����,可視為的文件柜——存儲(chǔ)電子文件的處所,用戶(hù)可以對(duì)文件中的數(shù)據(jù)進(jìn)行新增���、查詢(xún)���、更新、刪除等操作�����。
簡(jiǎn)單點(diǎn)說(shuō)就是網(wǎng)站���、應(yīng)用系統(tǒng)等存儲(chǔ)各類(lèi)信息的一個(gè)“倉(cāng)庫(kù)”��,作為管理者你可以對(duì)這些信息進(jìn)行管理�,包括增刪改查等,
舉個(gè)最簡(jiǎn)單的例子���,你微信的賬號(hào)和密碼就是存儲(chǔ)在微信系統(tǒng)的數(shù)據(jù)庫(kù)中的�����,你登錄時(shí)輸入的值就會(huì)和數(shù)據(jù)庫(kù)里對(duì)應(yīng)的值就行比對(duì)�����,
如果一致那么密碼正確允許登錄���,
你修改密碼就相當(dāng)于修改了數(shù)據(jù)庫(kù)某一項(xiàng)的值,
你就相當(dāng)于普通用戶(hù)���,而數(shù)據(jù)庫(kù)管理員則擁有更高的權(quán)限�����,不同的管理員也有不同的權(quán)限���,但一般來(lái)說(shuō)是可以對(duì)所有普通用戶(hù)進(jìn)行管理操作了。
那為什么數(shù)據(jù)庫(kù)如此重要�����?
上面我也說(shuō)了�,一般情況下,一個(gè)管理員是可以管理所有普通用戶(hù)數(shù)據(jù)的�,
假如你獲得了微信系統(tǒng)的一個(gè)管理員權(quán)限,那么你幾乎可以查詢(xún)這個(gè)數(shù)據(jù)庫(kù)里所有普通用戶(hù)��,也就是查看所有人的微信信息����,包括賬號(hào)、密碼�、身份信息、聯(lián)系信息���、好友列表�����、支付密碼等����,
而且這些數(shù)據(jù)庫(kù)管理員是可以執(zhí)行操作系統(tǒng)指令的����,
所以��,如果拿到數(shù)據(jù)庫(kù)管理員權(quán)限�,那我就相當(dāng)于獲得了所有數(shù)據(jù)��,然后再通過(guò)數(shù)據(jù)庫(kù)執(zhí)行操作系統(tǒng)指令�����,進(jìn)一步控制電腦服務(wù)器�,這就是數(shù)據(jù)庫(kù)為什么如此重要的原因了!
實(shí)際上如果是真正做黑產(chǎn)的人����,不考慮內(nèi)網(wǎng)擴(kuò)散其他服務(wù)器的情況下,獲得數(shù)據(jù)庫(kù)里面的敏感數(shù)據(jù)得到的收益是遠(yuǎn)遠(yuǎn)大于獲取一個(gè)肉雞的收益的��。(肉雞:留下后門(mén)可隨時(shí)控制的電腦)
從攻擊角度來(lái)說(shuō)
首先�����,我們來(lái)想一下�,黑客攻擊的目的是什么?
不就是控制目標(biāo)服務(wù)器或者拿取數(shù)據(jù)嗎���?
如果最基本的數(shù)據(jù)庫(kù)原理都不會(huì)�,指令都不會(huì),就算給你數(shù)據(jù)庫(kù)接口你如何獲取數(shù)據(jù)���?
而實(shí)際攻擊過(guò)程中,由于網(wǎng)站應(yīng)用系統(tǒng)的不同����,以及數(shù)據(jù)庫(kù)的不同,各自可能存在的漏洞不同���,我們會(huì)存在各式各類(lèi)的復(fù)雜情況���,所以實(shí)際上我們需要學(xué)習(xí)的更多
攻擊數(shù)據(jù)庫(kù)以大家最常聽(tīng)見(jiàn)的SQL注入來(lái)說(shuō),你需要學(xué)習(xí)
SQL注入原理����、聯(lián)合注入、注入類(lèi)型��、別名提升權(quán)限����、讀取文件�����、html錨點(diǎn)����、Mysql布爾注入��、延時(shí)注入����、
別名講解、MYSQL-BUG注入�、MYSQL函數(shù)報(bào)錯(cuò)、修復(fù)SQL注入���、判斷網(wǎng)站是否存在注入�����、
寬字節(jié)注入���、多語(yǔ)句注入、Values注入�����、Delete注入、UPdate型注入����、注入常用函數(shù)、防火墻�、其它數(shù)據(jù)庫(kù)注入等等�!
以上只是部分注入技能,你學(xué)會(huì)了過(guò)后不代表你就能利用漏洞獲取數(shù)據(jù)了���,就像你只是剛剛學(xué)會(huì)了走路而已了�,
實(shí)際注入過(guò)程中還會(huì)遇到防護(hù)措施阻攔��,包括數(shù)據(jù)庫(kù)����、網(wǎng)站系統(tǒng)本身的防護(hù)、關(guān)鍵字過(guò)濾等�,以及web防火墻等,你還要學(xué)習(xí)如何繞過(guò)它們���,才有可能真正獲取到數(shù)據(jù)���!
也就是說(shuō)你不僅要學(xué)會(huì)走路����,還得學(xué)會(huì)跑�����,還得會(huì)跨欄�,你才可能真正到達(dá)終點(diǎn)!
當(dāng)然還有其他攻擊方式最終也能獲取到數(shù)據(jù)����,這里就不擴(kuò)展探討了,感興趣的可以關(guān)注我��,不定期分享一些網(wǎng)絡(luò)攻防的技術(shù)���。
從防守角度來(lái)說(shuō)
作為防守者����,尤其是你想要做一個(gè)優(yōu)秀的防守者����,保護(hù)你的數(shù)據(jù)不被黑客拿到��,那么同樣的����,你也需要了解剛才所說(shuō)的一些數(shù)據(jù)庫(kù)的攻擊方式�����,數(shù)據(jù)庫(kù)原理等等�����,而且你還要學(xué)習(xí)更多防繞過(guò)方式��!
因?yàn)槟阒挥忻鞔_知道了如何攻擊����,你才真正知道如何防御���!
就像我們房子防御小偷一樣�����,小偷只需要一個(gè)窗戶(hù)就能進(jìn)來(lái)���,而我們?yōu)榱瞬蛔屝⊥颠M(jìn)來(lái)�����,我們會(huì)看好門(mén)�����,看好窗等所有小偷有可能進(jìn)來(lái)的地方����!
贊同0
評(píng)論0
加載中...
