ACER_112024 ACER_112024 ACER_112024

WWW hacking a obrana / 7. časť

0
Databázový server MS SQL (Microsoft SQL) je populárny vďaka jeho rozsiahlym možnostiam a kvalitnej podpore. No ako to už býva, flexibilita softvéru a robustnosť prinášajú aj viac možností pre útočníka. Na diskusných fórach sa možno stretnúť aj s takýmto názorom: Nepoužívame MS SQL server, pretože jeho široké možnosti môže ľahko zneužiť útočník. Rozšírené uložené procedúry (Extended Stored Procedures), ktoré server ponúka, môže útočník veľmi jednoducho zneužiť na získanie plnej kontroly nad serverom. MS SQL server a SQL Injection Databázy, ktoré bežia na MS SQL serveri, nie sú z pohľadu útočníka veľmi odlišné od databáz typu MySQL. No pre útočníka sú azda vďačnejším cieľom, pretože chybové výpisy, ktoré server pri chybnej požiadavke (query) poskytuje, sú často oveľa prínosnejšie ako v prípade databázového systému MySQL. Ďalšie plus pre útočníka je možnosť vkladať do požiadavky viac príkazov oddelených znakom bodkočiarky. Táto vlastnosť ponúka útočníkom oveľa väčšie možnosti pri nabú ...