Qual è il vantaggio di information_schema del database per un hacker?

3

Qual è il vantaggio del information_schema del database per un hacker? Sto parlando dello sfruttamento di SQL injection.

    
posta Elkhazrajy 10.04.2018 - 15:14
fonte

3 risposte

1

Può mappare quali tabelle sono nel database e le loro colonne

    
risposta data 10.04.2018 - 15:19
fonte
1

L'hacker può avere solo un piccolo buco nel server del database tramite la vulnerabilità di SQL injection: potrebbe non essere in grado di scaricare interi database o tabelle, ed è possibile che solo alcuni tipi di query possano passare, ad un tasso limitato . Lo schema delle informazioni è la migliore scorciatoia per stimare quali sono i dati che dovresti provare a ottenere per primi e dove sono esattamente archiviati.

    
risposta data 10.04.2018 - 15:26
fonte
1

Supponiamo di aver trovato una vulnerabilità SQLi che ti consente di eseguire qualsiasi query SQL desiderata e vedere il risultato completo. Grande! Ma cosa corri? Se non conosci i nomi di tabelle o colonne, dovrai indovinarle per andare ovunque. E se la tabella che stai cercando non si chiama users e la colonna non è chiamata password , potrebbe volerci un po 'di tempo.

Questo è il punto in cui lo schema informativo viene in soccorso. Contiene il nome di tutte le tabelle, colonne e simili nel database, in modo da sapere cosa interrogare.

    
risposta data 10.04.2018 - 15:24
fonte

Leggi altre domande sui tag