近来的SQL注入攻击显示,采用SQL注入的多级攻击可以提供对操作系统的交互式GUI(图形用户界面)访问。
一位欧洲的研究人员发现,SQL注入并不仅仅是为了攻击数据库和网页,这场影响范围巨大的攻击风暴也可以作为进入操作系统的垫脚石。
Portcullis计算机安全的高级渗透测试人员Alberto Revelli星期二在伦敦的EUSecWest大会上演示了一种多级攻击,它采用可以从根本上给攻击者对底层操作系统进行交互GUI方式的访问。
Revelli 也被人们称为“icesurfer”,他指出,当今的数据库管理系统都有一些工具和功能组件,可以直接与操作系统及网络联接。他说,“这意味着如果我可以通过一次SQL注入攻击一个Web应用程序,我就不只局限于存储在数据库中的数据,而且我还可以设法获得对DBMS(数据库管理系统)所在的主机的交互式访问。”
他的攻击,结合SQL注入攻击、IPS、对Web应用程序防火墙的逃避等手段,目的是为了强力破解系统管理员的口令,将Web应用程序作为其攻击的初始阶段。Revelli 说,“在这些情况中,Web应用程序是达到真正目标的一种垫脚石,也就是到达部署DBMS的主机。”在EUSec上展示...[ 查看全文 ]