網(wǎng)絡(luò)攻防�,一個是攻,一個是防
為什么在網(wǎng)絡(luò)攻防里數(shù)據(jù)庫重要?為什么我們要學(xué)數(shù)據(jù)庫���?
下面我從攻擊方角度和防守方角度分別來詮釋學(xué)習(xí)數(shù)據(jù)庫的重要性
首先我們看看,
數(shù)據(jù)庫是什么?
數(shù)據(jù)庫是“按照數(shù)據(jù)結(jié)構(gòu)來組織、存儲和管理數(shù)據(jù)的倉庫”�����。是一個長期存儲在計算機(jī)內(nèi)的����、有組織的��、有共享的、統(tǒng)一管理的數(shù)據(jù)集合。
數(shù)據(jù)庫是以一定方式儲存在一起、能與多個用戶共享����、具有盡可能小的冗余度���、與應(yīng)用程序彼此獨(dú)立的數(shù)據(jù)集合����,可視為的文件柜——存儲電子文件的處所�����,用戶可以對文件中的數(shù)據(jù)進(jìn)行新增�、查詢���、更新���、刪除等操作�����。
簡單點(diǎn)說就是網(wǎng)站、應(yīng)用系統(tǒng)等存儲各類信息的一個“倉庫”���,作為管理者你可以對這些信息進(jìn)行管理,包括增刪改查等�,
舉個最簡單的例子�,你微信的賬號和密碼就是存儲在微信系統(tǒng)的數(shù)據(jù)庫中的����,你登錄時輸入的值就會和數(shù)據(jù)庫里對應(yīng)的值就行比對,
如果一致那么密碼正確允許登錄����,
你修改密碼就相當(dāng)于修改了數(shù)據(jù)庫某一項(xiàng)的值��,
你就相當(dāng)于普通用戶,而數(shù)據(jù)庫管理員則擁有更高的權(quán)限���,不同的管理員也有不同的權(quán)限,但一般來說是可以對所有普通用戶進(jìn)行管理操作了���。
那為什么數(shù)據(jù)庫如此重要?
上面我也說了��,一般情況下����,一個管理員是可以管理所有普通用戶數(shù)據(jù)的,
假如你獲得了微信系統(tǒng)的一個管理員權(quán)限����,那么你幾乎可以查詢這個數(shù)據(jù)庫里所有普通用戶����,也就是查看所有人的微信信息�����,包括賬號、密碼����、身份信息�、聯(lián)系信息��、好友列表����、支付密碼等���,
而且這些數(shù)據(jù)庫管理員是可以執(zhí)行操作系統(tǒng)指令的����,
所以�����,如果拿到數(shù)據(jù)庫管理員權(quán)限,那我就相當(dāng)于獲得了所有數(shù)據(jù)�,然后再通過數(shù)據(jù)庫執(zhí)行操作系統(tǒng)指令���,進(jìn)一步控制電腦服務(wù)器����,這就是數(shù)據(jù)庫為什么如此重要的原因了���!
實(shí)際上如果是真正做黑產(chǎn)的人�����,不考慮內(nèi)網(wǎng)擴(kuò)散其他服務(wù)器的情況下,獲得數(shù)據(jù)庫里面的敏感數(shù)據(jù)得到的收益是遠(yuǎn)遠(yuǎn)大于獲取一個肉雞的收益的�����。(肉雞:留下后門可隨時控制的電腦)
從攻擊角度來說
首先���,我們來想一下�����,黑客攻擊的目的是什么���?
不就是控制目標(biāo)服務(wù)器或者拿取數(shù)據(jù)嗎����?
如果最基本的數(shù)據(jù)庫原理都不會�,指令都不會,就算給你數(shù)據(jù)庫接口你如何獲取數(shù)據(jù)����?
而實(shí)際攻擊過程中���,由于網(wǎng)站應(yīng)用系統(tǒng)的不同����,以及數(shù)據(jù)庫的不同�,各自可能存在的漏洞不同,我們會存在各式各類的復(fù)雜情況,所以實(shí)際上我們需要學(xué)習(xí)的更多
攻擊數(shù)據(jù)庫以大家最常聽見的SQL注入來說��,你需要學(xué)習(xí)
SQL注入原理�����、聯(lián)合注入、注入類型��、別名提升權(quán)限�����、讀取文件�����、html錨點(diǎn)、Mysql布爾注入、延時注入����、
別名講解�、MYSQL-BUG注入����、MYSQL函數(shù)報錯、修復(fù)SQL注入����、判斷網(wǎng)站是否存在注入����、
寬字節(jié)注入、多語句注入、Values注入�、Delete注入��、UPdate型注入、注入常用函數(shù)、防火墻�、其它數(shù)據(jù)庫注入等等�!
以上只是部分注入技能�,你學(xué)會了過后不代表你就能利用漏洞獲取數(shù)據(jù)了���,就像你只是剛剛學(xué)會了走路而已了�,
實(shí)際注入過程中還會遇到防護(hù)措施阻攔,包括數(shù)據(jù)庫����、網(wǎng)站系統(tǒng)本身的防護(hù)�����、關(guān)鍵字過濾等,以及web防火墻等���,你還要學(xué)習(xí)如何繞過它們,才有可能真正獲取到數(shù)據(jù)����!
也就是說你不僅要學(xué)會走路����,還得學(xué)會跑����,還得會跨欄,你才可能真正到達(dá)終點(diǎn)�����!
當(dāng)然還有其他攻擊方式最終也能獲取到數(shù)據(jù)����,這里就不擴(kuò)展探討了,感興趣的可以關(guān)注我�����,不定期分享一些網(wǎng)絡(luò)攻防的技術(shù)��。
從防守角度來說
作為防守者,尤其是你想要做一個優(yōu)秀的防守者,保護(hù)你的數(shù)據(jù)不被黑客拿到��,那么同樣的��,你也需要了解剛才所說的一些數(shù)據(jù)庫的攻擊方式�,數(shù)據(jù)庫原理等等����,而且你還要學(xué)習(xí)更多防繞過方式!
因?yàn)槟阒挥忻鞔_知道了如何攻擊����,你才真正知道如何防御����!
就像我們房子防御小偷一樣�,小偷只需要一個窗戶就能進(jìn)來,而我們?yōu)榱瞬蛔屝⊥颠M(jìn)來��,我們會看好門��,看好窗等所有小偷有可能進(jìn)來的地方�!
贊同0
評論0
加載中...
