本文目录一览:
没有sql注入链接怎么入侵网站
sql注入外,你还可以通过html注入,暴库,webshell路径搜索,强行访问目录,空连接,工具溢出,COOKIE诈骗,ARP欺骗,IP欺骗等方式都可以。
我的网站被入侵了,网站ACCSEE数据库 MDB后缀。网站包括后台 都没有上传功能,也没有SQL执行功能。
如果已经拿到了shell,那就看看后台有没有备份数据库的功能,可以数据库插马,然后备份成asp格式,这样就OK了还有可能社工到了vps的密码,那样就能直接管理vps上的所有东西了
如何防止服务器SQL入侵
简单回答:
1、想告诉你的是,正统的做法是SQL服务器不直接接入互联网。SQL除了口令认证外,没有更强的防护能力。
2、如果SQL服务器要直接向互联网提供相关服务接入,那么,中间应该有硬件防火墙,至少应该有路由器进行隔离与过滤。
3、win2008R2自带软件的网络防火墙,在某些情况下也能提供部分网络防护功能,但能力与功能很有限。
相关知识:
1、MS SQL为数据服务管理器,它在设计上有基本的认证防护能力。也就是说,设置有口令情况下,不知道口令是不可能联接上的。
2、对于穷尽式的尝试,MS SQL没有防护能力。对于穷尽式尝试联接,只要你的登录密码设定够复杂,那么理论上就不可能试出来。这个复杂要求一般来说,12位的“字符+数字+符号”即可,要穷尽的试出这种密码,一秒钟100次尝试,完全穷尽,理论上要超过300年,当然,谁也不能保证,某人的运气过好,亿万分之一的机率也能试出来。
3、在实际工作中,SQL服务器被攻击一般不是被穷尽法破入,而是别的漏洞,这些漏洞可能是人为疏忽,也可能是并不被一般人了解的后门,还可能是被大量的登录或其它垃圾请求进行的封堵。
4、所以,SQL服务器一般不直接接入互联网,而是在后台接入应用服务器,应用服务器再面向用户,这就是所谓的三层架构。
5、对于“垃圾请求进行的封堵”的防护,需要有专业级别的防火墙,一般个人级别的应用是不会用这些东西的。