sql >> データベース >  >> RDS >> Mysql

この種のSQLインジェクションの目的は何ですか?

    具体的には、emailを含む列を持つ非システムテーブルを見つけようとしています。 次の表を除外しています:

    BRIDE_PUB   
    BRIDE_TBL_PUB   
    CONTACT 
    CONTACT_TBL 
    GROOM_TBL   
    GROOM_TBL_PUB   
    ORDER_TBL   
    php121_users_deleted    
    SUBSCRIBER_LIST 
    USER_DELETED    
    USER_PROFILE_DELETED
    

    攻撃者はすでに知っていると思います。

    つまり、基本的に彼らはあなたの電子メールアドレスを盗んでメーリングリストとして販売しようとしています(これはSQLインジェクション攻撃では一般的です)。

    参考までに、文字列を表示するために使用したクエリは次のとおりです。

    select
        CAST(0x217e21 as varchar(99)),
        CAST(0x696e666f726d6174696f6e5f736368656d61 as varchar(99)), 
        CAST(0x6d7973716c as varchar(99)), 
        CAST(0x25656d61696c25 as varchar(99)), 
        CAST(0x42524944455f54424c as varchar(99)), 
        CAST(0x42524944455f54424c5f505542 as varchar(99)), 
        CAST(0x434f4e54414354 as varchar(99)), 
        CAST(0x434f4e544143545f54424c as varchar(99)), 
        CAST(0x47524f4f4d5f54424c as varchar(99)), 
        CAST(0x47524f4f4d5f54424c5f505542 as varchar(99)), 
        CAST(0x4f524445525f54424c as varchar(99)), 
        CAST(0x7068703132315f75736572735f64656c65746564 as varchar(99)), 
        CAST(0x535542534352494245525f4c495354 as varchar(99)), 
        CAST(0x555345525f44454c45544544 as varchar(99)), 
        CAST(0x555345525f50524f46494c455f44454c45544544 as varchar(99))
    

    (私はMS SQL Serverでこれを行いましたが、構文がMySqlでまったく同じかどうかはわかりません)




    1. IRIWorkbenchでPostgreSQLに接続する

    2. クラウドベンダーの詳細:MicrosoftAzure上のPostgreSQL

    3. Ubuntuのmysqlデータベースに接続できません

    4. 異なるDBで外部キーを使用してdjangoモデルを使用するにはどうすればよいですか?