是否可以通过 SQL 注入攻击安装恶意代码
Is it possible to install malicious code with a SQL injection attack
我们最近在一些容易受到 SQL 注入攻击的旧代码中发现了安全层。
服务器是 MS SQL Server 2012 运行 Windows 2012。
在调查过程中,我被问及是否通过该漏洞安装了任何恶意代码。 SQL 服务器已从 Web 服务器中删除,但可以访问 Internet 进行操作系统更新。
我不知道也没有听说过通过 SQL 注入安装/下载代码,我的第一反应是不,这是不可能的。但是我想我会问 Stack Overflow 上的好人,因为我总是有可能错了:)
是的,SQL 服务器可以执行 master..xp_cmdshell 命令执行 windows 命令行操作,允许进一步接管服务器并在其上安装东西。
SQL服务器还支持C#代码嵌入。重要的服务器我会取证分析,不重要的我就干脆删除。
我们最近在一些容易受到 SQL 注入攻击的旧代码中发现了安全层。
服务器是 MS SQL Server 2012 运行 Windows 2012。
在调查过程中,我被问及是否通过该漏洞安装了任何恶意代码。 SQL 服务器已从 Web 服务器中删除,但可以访问 Internet 进行操作系统更新。
我不知道也没有听说过通过 SQL 注入安装/下载代码,我的第一反应是不,这是不可能的。但是我想我会问 Stack Overflow 上的好人,因为我总是有可能错了:)
是的,SQL 服务器可以执行 master..xp_cmdshell 命令执行 windows 命令行操作,允许进一步接管服务器并在其上安装东西。 SQL服务器还支持C#代码嵌入。重要的服务器我会取证分析,不重要的我就干脆删除。