WWW hacking a obrana / 7. časť
Databázový server MS SQL (Microsoft SQL) je populárny vďaka jeho rozsiahlym možnostiam a kvalitnej podpore. No ako to už býva, flexibilita softvéru a robustnosť prinášajú aj viac možností pre útočníka.
Na diskusných fórach sa možno stretnúť aj s takýmto názorom: Nepoužívame MS SQL server, pretože jeho široké možnosti môže ľahko zneužiť útočník. Rozšírené uložené procedúry (Extended Stored Procedures), ktoré server ponúka, môže útočník veľmi jednoducho zneužiť na získanie plnej kontroly nad serverom.
MS SQL server a SQL Injection
Databázy, ktoré bežia na MS SQL serveri, nie sú z pohľadu útočníka veľmi odlišné od databáz typu MySQL. No pre útočníka sú azda vďačnejším cieľom, pretože chybové výpisy, ktoré server pri chybnej požiadavke (query) poskytuje, sú často oveľa prínosnejšie ako v prípade databázového systému MySQL.
Ďalšie plus pre útočníka je možnosť vkladať do požiadavky viac príkazov oddelených znakom bodkočiarky. Táto vlastnosť ponúka útočníkom oveľa väčšie možnosti pri nabú ...
Článok je uzamknutý
Prihlásiť pomocou členstva NEXTECH
Článok je uzamknutý
Pokračovanie článku patrí k prémiovému obsahu pre predplatiteľov. S digitálnym predplatným už od 10 € získate neobmedzený prístup k uzamknutému obsahu na celý rok. Objednať si ho môžete TU. Ak ho už máte prihláste sa TU
Prihlásiť pomocou členstva NEXTECH