渗透入侵数据库的Web脚本攻击课件.pptxVIP

反黑风暴— 网络渗透技术攻防高手修炼渗透入侵数据库的Web脚本攻击♂实现SQL注入攻击♂Web脚本注入攻击的防范♂文件上传为渗透铺路??实现SQL注入攻击SQL注入攻击基础My SQL注入攻击SQL Server数据库注入攻击口令破解/暴力破解攻击常见的注入工具 1．NBSI注入工具 2．Domain注入工具 3．ZBSI注入工具SQL Server数据库注入攻击对SQL Server数据库进行注入攻击的操作步骤如下：步骤1：获取SQL-Server数据库的SA口令。进入MS-SQL数据库服务器必须有SQL-Server数据库的SA口令，可获得SA口令的软件很多，如X-Scan软件，如图4-26所示。步骤2：单击【扫描参数】按钮，即可打开【扫描参数】对话框，单击“全局设置”选项下的“扫描模块”选项，即可进入“扫描模块”设置界面，在其中选择要进行扫描的“SQL-Server弱口令”选项，如图4-27所示。SQL Server数据库注入攻击对SQL Server数据库进行注入攻击的操作步骤如下：步骤3：单击“检测范围”选项，即可进入“检测范围”设置界面，在其中输入指定的IP范围或从地址簿中选择，如图4-28所示。 步骤4：单击【确定】按钮完成设置之后，单击【开始扫描】按钮，即可自动进行扫描，扫描结束后将会弹出扫描报告，在其中可看到目标机的名称及口令信息，如图4-29所示。SQL Server数据库注入攻击对SQL Server数据库进行注入攻击的操作步骤如下：步骤7：单击【下一步】按钮，即可进入【选择SQL-Server】对话框，在“可用的服务器”文本框中输入目标机的IP地址，如图4-32所示。单击【添加】按钮，即可将地址添加到“添加的服务器”列表框中，如图4-33所示。步骤8：单击【下一步】按钮，即可进入到【选择身份验证模式】对话框，并选择“系统管理员给我分配的SQL Server登录信息（SQL Server身份验证）”单选项，如图4-34所示。SQL Server数据库注入攻击对SQL Server数据库进行注入攻击的操作步骤如下：步骤9：单击【下一步】按钮，即可进入【选择连接选项】对话框，在其中选择“用我的SQL Server账户信息自动登录”单选项，再输入相应登录名和密码，如图4-35所示。步骤10：单击【下一步】按钮，即可进入到【选择SQL Server组】对话框，在其中选择相应的单选项，如图4-36所示。再单击【下一步】按钮，即可打开【完成注册SQL Server向导】对话框，如图4-37所示。SQL Server数据库注入攻击对SQL Server数据库进行注入攻击的操作步骤如下：步骤11：单击【完成】按钮，即可弹出成功注册的信息提示，如图4-38所示。单击【关闭】按钮，即可返回SQL-Server管理平台，在本地机器的SQL-Server管理平台中即可像管理本地机器的SQL服务器一样，管理远程主机的SQL-Server服务并对其进行任意更改。Web脚本注入攻击的防范保护SQL Server的安全 1．修改数据库的下载地址 2．修改数据库文件名防止SQL数据库攻击 1．删除不必要的扩展存储过程 2．使用安全的数据库帐号防止SQL注入攻击 1．对用户输入的数据进行过滤。 2．设置错误提示信息。修改数据库的下载地址修改数据库的下载地址，可以防止本机数据库文件被下载，不过需要先安装IIS服务器，具体的安装过程如下：步骤1：选择【开始】→【控制面板】→【添加或删除程序】菜单项，即可打开【添加或删除程序】对话框，如图4-87所示。步骤2：单击【添加/删除Windows组件】按钮，即可打开【Windows组件向导】对话框，在其中勾选“Internet信息服务”复选框，如图4-88所示。修改数据库的下载地址修改数据库的下载地址，可以防止本机数据库文件被下载，不过需要先安装IIS服务器，具体的安装过程如下：步骤3：单击【详细信息】按钮，即可打开【Internet信息服务（IIS）】对话框，在其中勾选“Internet信息服务管理单元”等，如图4-89所示。步骤4：单击【确定】按钮，再次打开【Internet信息服务（IIS）】对话框，单击【下一步】按钮，把Windows XP系统盘放入光驱中，即可自动的进行安装，如图4-90所示。修改数据库的下载地址修改数据库的下载地址，可以防止本机数据库文件被下载，不过需要先安装IIS服务器，具体的安装过程如下：步骤5：在安装完毕后，即可弹出【完成Windows组件向导】对话框，如图4-91所示。单击【完成】按钮，即可完成IIS服务的操作。步骤6：选择?【开始】→?【程序】→?【管理工具】→?【Internet信息服务】菜单项，即可打开【Internet信息服务】管理器窗口，如图4-92所示