【网络安全】浅谈数据库攻击复现及相关安全优化

已于 2024-01-05 22:11:14 修改
阅读量294 收藏 2
点赞数 1
分类专栏: 网络安全 文章标签: 安全 web安全 网络安全
于 2023-01-09 15:35:11 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_71744044/article/details/128615185
版权
由于安全意识缺乏,被不法之人黑进了数据库
摘要由CSDN通过智能技术生成

前言

恰巧在交流群看到这么一条消息,由于安全意识缺乏,被不法之人黑进了数据库,并且 dump 了数据进行勒索;

接下来,博主将复现一些攻击数据库的场景,并介绍一些与数据库有关的安全优化;

被黑原因

  1. MySQL 数据库 root 用户密码太弱,设置的太简单了;

  2. MySQL 数据库 root 用户访问权限太高,没有加以限制,允许了除自身所在服务器 IP 地址访问,也对其之外的服务器访问门户大开;

  3. MySQL 数据库使用的是默认端口3306,没有重新定义新端口,导致高风险;

  4. MySQL 数据库,没有做定时备份功能,只依赖于自己的不定时备份;

  5. 数据库放在应用服务器上,没有独立出一台数据库服务器,和应用服务器分开,也因此增加了风险性;

场景复现

这里的话,攻击的是 暴露在公网上的数据库,对于本地才能访问的数据库,可以通过找到接口,以 SQL 注入的方式进行尝试一番,具体可以看到博主的这篇博文:

最低0.47元/天 解锁文章
无情哈老少
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
漏洞网络安全的实验室之旅.txt
03-01
漏洞
3.8 数据库攻击
m0_56534254的博客
10-12 1150
它基于网络服务协议构造攻击数据,覆盖了众多常见的网络服务,也提供了针对MSSQL、MySQL和Oracle等数据库的口令破解功能,其最大的特点是支持协议多,且具备持续破解的功能。这是基于Java开发的Web应用程序集成平台,可通过数据嗅探的方式获取到数据库登录数据报文的格式,并且指定字典或者字符集动态替换其中的账户及口令数据后发送给服务器。攻击者根据实际情况指定账户和口令可能使用的字符集和最大长度,再通过交叉组合的方式,在字符空间内遍历取值,逐一与数据库尝试连接,最终确定正确的账户及口令。
MySQL安全漏洞和攻击方式及预防措施
vipfanxu的博客
09-05 1416
MySQL的安全漏洞和攻击方式各不相同,然而,通过采取恰当的预防措施,可以提高MySQL的整体安全性。最重要的是,数据库管理员应当保持对新的安全漏洞和攻击方式的关注,并及时采取措施应对。MySQL是一种流行的开源关系型数据库管理系统,被广泛用于网站和应用程序的后端数据存储,然而,正因为其广泛使用,也使得MySQL成为黑客和恶意攻击者的目标。缓冲区溢出是一种利用软件漏洞的攻击方式,黑客通过向MySQL发送超长的数据或恶意数据,导致MySQL内部的缓冲区溢出,从而可以执行恶意代码或控制数据库
SQL注入攻击的手段与防范
Noobfurid的博客
05-16 1885
SQL注入攻击是一种常见的网络攻击,它利用应用程序中存在的安全漏洞,通过将恶意的SQL语句插入到应用程序的输入字段中,从而获得对数据库的非法访问。攻击者可以通过在应用程序的输入字段中插入特定的SQL代码,使得应用程序在处理输入时执行该代码。这种攻击可以导致应用程序执行恶意的SQL查询,从而获取敏感信息、更改、删除或添加数据库中的数据,甚至完全接管应用程序。
一文教你如何防御数据库恶意攻击
ReturnTmp的博客
08-28 742
前段时间博主在做学校内部项目的时候,项目需要暂时上线测试,没想到上线测试几天,MySQL 数据库数据就被恶意删除,但是当时我们没有太当回事,以为只是一次普通黑客攻击,恢数据之后仍然可以正常使用。但是当项目快结题,学校领导需要上午检查答辩时,早上我们查看项目数据库,居然整个数据库都崩掉了,基本恢不了数据,搞得当天很尴尬。由于项目是内部项目,因此只有学校内部人员了解情况,纯粹是内部人员搞事情。
web安全程序设计大作业漏洞及修
最新发布
07-05
web安全程序设计大作业漏洞及修,本实验采用xss漏洞利用靶场进行和修,并且找到一个网站成功攻击了xss。本次报告打分85。
“鹏城杯”网络安全竞赛开赛 真实网络靶场环境.pdf
09-20
“鹏城杯”网络安全竞赛开赛 真实网络靶场环境.pdf
【技术分享】CDN安全论文-RangeAmp攻击 .pdf
09-05
【技术分享】CDN安全论文-RangeAmp攻击主要关注的是CDN(内容分发网络)中的一种潜在安全威胁,即通过HTTP Range Requests实的放大攻击。论文《CDN Backfired: Amplification Attacks Based on ...
跨站脚本攻击(XSS)与防范、上海交通大学反射型与存储型xss案例
sGanYu
10-24 7677
目录 xss漏洞介绍 XSS是什么 XSS漏洞原理 反射型XSS攻击 存储型XSS攻击 DOM型XSS攻击 常用的XSS测试语句 关于XSS的防御 xss漏洞介绍 跨站脚本攻击,英文全称是Cross Site Scripting,为了不和层叠样式表(Cascading Style Sheets,CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS XSS攻击,通常指的是攻击者通过“HTML注入”篡改网页,插入恶意脚本,代码注入的一种攻击手段,当其他用户浏览网页时就会受影响
基于全流量技术的DDoS攻击案例
07-22 372
关键词:网络安全 全流量分析 DDos攻击 案例分析 运维管理 这是一个真实案例,NetInside用户网络出异常流量,经分析是一起典型的网络安全攻击行为,整理分享。 起因 本月26日晚9点半左右,某用户收到NetInside全流量安全分析系统发出的网络流量异常告警。 同时,该用户网络延时明显变大,通俗的说就是网络变的很卡。 回溯 登陆NetInside系统查看,发明显的流量高峰出。具体为流出方向流量增大,大小接近1000Mbps。 另外,在总流量时序图中,也清晰的看到流量变大的IP
实验一:永恒之蓝攻击实验报告
qq_44118750的博客
05-15 4653
姓名:软工女孩(b站同名) 一、实验项目名称 使用KALI进行MS17_010渗透提权 二、实验目的及要求 熟悉kali的基本安装与使用 理解软件msf的模块调用与使用 掌握MS17_010的模块的mimikatz软件使用 掌握windows的密码破解以及hash破解 三、实验环境 Windows、KALI 四、实验内容 5. 掌握永恒之蓝的使用以及msf模块的使用 6. 掌握基本提权与后门维持 五、实验步骤 1、搭建好环境准备,在WMware虚拟机软件中分别建立以kali和win7为镜像的虚拟机,按
MySQL数据库攻击,被删库勒索,逼迫我使出洪荒之力进行恢数据
热门推荐
致力于不留技术债务cuizb.top
01-26 7万+
昨天连夜赶了一篇文章,讲述了一个被黑客连续攻击服务器三次的普通“搬砖人”,一次比一次艰难,一次比一次狠。 我给大家看几张图,看看黑客的“佳作” 首先创建一个数据库:README_FHX 然后创建表:README 插入一条数据 内容如下: 内容:以下数据库已被删除:*****。 我们有完整的备份。 要恢它,您必须向我们的比特币地址bc1q6d96nllp6spyxruc0wmtkpk8e36949gny5qrcr支付0.0075比特币(BTC)。 如果您需要证明,请通过以下电子邮件与我们联系。
mysql 数据库攻击_漏洞原理篇---数据库注入攻击(Mysql)
weixin_36397191的博客
01-19 1474
数据库注入攻击一、什么是数据库注入攻击。服务端在接收来自客户端的查询参数后,未对查询参数进行严格的过滤。导致恶意用户可在查询参数中插入恶意的sql语句来查询数据库中的敏感信息,最终造成数据库信息泄露。二、注入攻击的分类。按查询数据的提交方式分为GET型注入和POST型注入。按查询数据的类型分为数值型注入和字符型注入。按攻击方式分为基于union联合查询的注入、基于报错的注入、盲注(时间盲注、布尔盲...
如何防止网站数据库攻击 被篡改
06-28 1817
某一网站平台的客户数据库被黑客篡改了,篡改了会员的银行卡信息以及金额,包括注单也被黑客篡改,导致平台的损失很大,在后台提的时候,客户才发会员的数据有异常,觉得不得劲,查询该会员账号的所有信息发了问题。数据库攻击了,随...
iOS 扫描局域网内的所有IP地址
jeffasd的专栏
08-01 5969
How Scan devices in a LAN network iOS 扫描局域网内的所有IP地址 客户端通过向局域网广播udp广播,并监听udp端口,通过返回的数据来扫描局域网的ip地址。 示例文章和代码如下: How Scan devices in a LAN network http://blog.csdn.net/johns_xiao/
MySQL数据库安全优化的常用方法
weixin_34174322的博客
10-26 247
1、避免从互联网访问MySQL数据库,确保特定主机才拥有访问特权直接通过本地网络之外的计算机改变生产环境中的数据库是异常危险的。有时,管理员会打开主机对数据库的访问:> GRANT ALL ON *.* TO ';root'@'%'这其实是完全放开了对root的访问。所以,把重要的操作限制给特定主机非常重要:> GRANT ALL ON *.* TO 'roo...
数据库和查询语句优化
01-11 641
数据库和查询语句优化文章来源:未知作者:未知推荐等级:访问次数:301.参考下面的,看数据库和查询语句有没有可优化的地方 如何让你的SQL运行得更快 ---- 人们在使用SQL时往往会陷入一个误区,即太关注于所得的结果是否正确,而忽略 了不同的实方法之间可能存在的性能差异,这种性能差异在大型的或是杂的数据库 环境中(如联机事务处理
数据库性能优化详解
逍遥飞鹤的专栏
07-23 1万+
一、数据库访问优化法则简介 要正确的优化SQL,我们需要快速定位能性的瓶颈点,也就是说快速找到我们SQL主要的开销在哪里?而大多数情况性能最慢的设备会是瓶颈点,如下载时网络速度可能会是瓶颈点,本地制文件时硬盘可能会是瓶颈点,为什么这些一般的工作我们能快速确认瓶颈点呢,因为我们对这些慢速设备的性能数据有一些基本的认识,如网络带宽是2Mbps,硬盘是每分钟7200转等等。因此,为了快速找到SQ
漏洞赏金,如何开始.pdf
10-06
网络安全渗透测试漏洞

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值