渗透测试之各种数据库类型特点的总结

  背景介绍:从攻击者角度分析,如果要对一个完全未知(数据库类型、数据库、数据表、网站后台)的网站进行攻击,简单来说,我们要对一个陌生的网站进行盲注。那么实行注入可以从数据库入手,那么一个数据库可从从哪些方面入手呢?独特的数据表、独特的SQL语句的用法.......

那么接下来,我们来总结一下几个数据库的特点,欢迎各位大侠进行总结。

  数据库类型介绍:

1、MSSQL

这些数据库时sqlserver自带的数据库,可以通过sql语句,对这些数据库进行一个简单的监测 select * from S_User

2、mysql

select  * from user into outfile "D:\\2.php"  --把select 出来的结果写入到D盘的user表中

在任意的文本域中填入木马脚本,实际在数据库和网页中无法执行,但如果存在SQL注入漏洞,我们可以通过这种语句或者备份数据库方法把备份文件变成程序文件而执行了。

3、Oracle

【待更新】

4、Access

【待更新】

时间: 2024-10-05 05:00:25

渗透测试之各种数据库类型特点的总结的相关文章

渗透测试之Nmap命令(二)

在<渗透测试之Nmap命令(一)>这篇博文中,已经介绍了Nmap命令的常用选项已经基本的使用方法,接下来讲一下namp的其他的一些扫描. 5. 其他扫描 5.1 SYN扫描 使用-sS选项对我们的虚拟机Ubuntu(192.168.50.12)发起一个完全开发的扫描.结果如下: 结果表明,至少192.168.50.12主机至少开放了3个端口,要确保使用不同类型的扫描对目标网络扫描,否则可能丢失一些很重要的信息导致测试结果相差很大. 5.2 NULL扫描 选用NULL扫描,再来看看结果: 结果令

Winform开发框架中实现同时兼容多种数据库类型处理

在很多应用系统里面,虽然一般采用一种数据库运行,但是由于各种情况的需要,可能业务系统会部署在不同类型的数据库上,如果开发的系统能够很方便支持多种数据库的切换,那可以为我们减少很多烦恼,同时提高系统的适应性和强壮型.还有一种情况,由于业务数据库的不断膨胀或者方便数据库的切割隔离,有时候也会把不同的业务数据库进行分拆,如权限提供数据库,客户关系管理数据库,工作流程数据库,企业营运数据库等等,因此在一个系统里面,同时使用2个或者以上的数据库的情况也是有的. 在我较早期的一篇随笔<Winform开发框架

atitit. hb 原生sql跨数据库解决原理 获得hb 数据库类型运行期获得Dialect

#-----原理 Hibernate 运行期获得Dialect 2010-07-28 12:59:58|  分类: 软件开发 |举报 |字号 订阅 String dialect = ((SessionFactoryImpl) session.getSessionFactory()).getDialect() .getClass().getName(); //     //org.hibernate.dialect.MySQLDialect 如果是spring + hibernate则可以: St

Winform开发框架中实现多种数据库类型切换以及分拆数据库的支持 - 伍华聪

在很多应用系统里面,虽然一般采用一种数据库运行,但是由于各种情况的需要,可能业务系统会部署在不同类型的数据库上,如果开发的系统能够很方便支持多种数据库的切换,那可以为我们减少很多烦恼,同时提高系统的适应性和强壮型.还有一种情况,由于业务数据库的不断膨胀或者方便数据库的切割隔离,有时候也会把不同的业务数据库进行分拆,如权限提供数据库,客户关系管理数据库,工作流程数据库,企业营运数据库等等,因此在一个系统里面,同时使用2个或者以上的数据库的情况也是有的.针对这两种情况,本文介绍在我的Winform开

Oracle数据库类型

字符类型char[(length)] 定长字符 最长2000字节varchar2[(length)] 可变长度的字符数据类型,最长4000字节NCHAR[(length)] 固定长度的字符数据类型,由国际字符语言(national language Support,NLS)字符集字符组成,最长2000字节LONG 可变长度的字符数据类型 最长2GBRAW 原始的二进制数据类型,最长2000字节long raw 原始的二进制数据类型,最长2GBrawid 数据库中一窜12字节地址,用于定位磁盘上某

利用接口实现多种数据库类型的灵活更换

当存在可能要更换数据库类型的时候,要考虑两个问题: 一,不同类型的数据库命名空间不一样,用到的函数名也不一样,尽管很相似: 二,有些SQL语句在不一样的数据库之间是不通用的! 那么要在更换数据库类型的时候,如何做到尽量少受因为上面两点而造成的影响呢?!利用接口,可以将第一点的影响降到最低!至于第二点, 可以将数据的操作尽量在数据库服务器端实现,这点的探讨不在本文研究范围内,在此也就不多说!下面主要就利用接口将第一点的影响降到最低这一点进行详细说 明. 首先,明确两点: 1, 无论哪种数据库类型,

小白日记45:kali渗透测试之Web渗透-SqlMap自动注入(三)-sqlmap参数详解-Optimization,Injection,Detection,Techniques,Fingerprint

sqlmap自动注入 Optimization [优化性能参数,可提高效率] -o:指定前三个参数(--predict-output.--keep-alive.--null-connection) --predict-output: 根据检测方法,比岁返回值和统计表内容,不断缩小检测范围,提高检测效率 可检测的返回值:版本名.用户名.密码.Privaleges.role.数据库名称.表名.列名 与--threads参数不兼容 统计表:/usr/share/sqlmap/txt/common-ou

RDIFramework.NET 框架兼容各种数据库类型事务使用范例参考

RDIFramework.NET 框架兼容各种数据库类型事务使用范例参考 RDIFramwork.NET框架对数据库的事务做了很好的控制,对多表或多条语句需要在同一事务执行提供了很好的支持,同时支持任意主流类型的数据库,下面的代码可以给用户做为参考.用户可以任意扩展使用. 1.传入实体执行执行事务测试 private bool InEntityTransactionTest(string mainId,string detailId) { //可以支持任意流行数据库类型,指定相关的数据库提供者即

设置powerdesigner的数据库类型

打开一张pdm 点击database->改变当前的dbms->选择你需要的数据库类型 生成的oracle的sql语句所哟字段都加了引号,此时使用sql写入数据库时会报错,修正方法 若要将 CDM 中将 Entity的标识符都设为指定的大小写,则可以这么设定: 打开cdm的情况下,进入Tools-Model Options-Naming Convention,把Name和Code的标签的Charcter case选项设置成Uppercase或者Lowercase,只要不是Mixed Case(大