1
ixiaohei 2017-11-10 23:46:37 +08:00
应用程序 sql 注入
|
2
rainfox 2017-11-10 23:47:49 +08:00
网站被攻破了,有你网站 shell,就能直接拖裤了。
|
3
Telegram 2017-11-10 23:48:22 +08:00 via iPhone
你 web 被入侵的话,一样 gg
|
4
wongskay 2017-11-11 01:19:17 +08:00
sql 注入
|
5
whx20202 2017-11-11 02:25:43 +08:00
sql 注入,这个说来话长了,有各种猥琐的注入方法
可以百度 sqlmap |
6
killu 2017-11-11 03:15:59 +08:00 via iPhone
有个东西叫提权 然后就会发现安全设置有些都白瞎了ಥ_ಥ
|
7
UnknownR 2017-11-11 09:49:17 +08:00 1
很多了,xss,sql 注入,webshell 提取,楼主可以去“看雪论坛”看看,花式脱裤,禁远程端口这种只能说防最低层次的规模性扫描,密码也是可以破解的,如果数据库比较有价值,建议做更高一级的安全防护措施,必要时可以请专门的雇员来完成
|
8
fate 2017-11-11 10:06:56 +08:00
web 被撸了,建议比较重要的业务可以找网络安全人员做一下安全测试。 有什么需要我可以帮你看一下 mail: NTA2NjA3ODNAcXEuY29t
|
9
tszyh 2017-11-11 13:11:39 +08:00
没有请专业的 dba
|
10
opengps 2017-11-11 15:34:55 +08:00 1
很多办法可以脱库,不要求非得登录进入服务器。
我同学公司的游戏网站,曾有个页面有自动补全用户名功能。这个页面曾经遇到一次攻击,经过分析得到的可能性最高的一个结论是:攻击者是在遍历获取用户名,自动补全的方式,遇到这个攻击等同于用户数据库用户名字段被脱库,然后利用用户名去其他社工数据库撞库获得密码。 |
11
90safe 2017-11-11 15:54:43 +08:00
你的网站需要读取数据库吧?代码里存了 Mysql 用户密码吧?那么拿到你这个网站的权限就好了。
|
12
julyclyde 2017-11-12 15:43:18 +08:00
一般都允许远程连接
要不然怎么扩大服务器规模呢 |
13
u5f20u98de 2017-11-12 17:55:59 +08:00 4
1.内鬼
2.SQL 注入漏洞 3.服务器被入侵,直接连数据库 4.数据库备份文件被人下载 5.管理员用了带后门的 SSH 管理工具 6.后台被非管理员登录(XSS、弱口令、越权访问、社工) 7.IDC 被别人撸了,顺手拖个库 8.把备份丢 github 上"开源" |
14
rogwan OP @u5f20u98de 你应该中过招,否则,不会领悟的这么齐全 😄
|
15
u5f20u98de 2017-11-12 20:09:54 +08:00
@rogwan 第一条和第五条是我们甲方被入侵的时候分析出来的。
然后其他的是在甲方让我们渗透的时候学到的。 |