Als u zoekt naar:
u zult veel voorbeelden zien van een poging tot hacken in de trant van:
1) declare @q varchar(8000) select @q = 0x57414954464F522044454C4159202730303A30303A313527 exec(@q) --
Wat probeert het precies te doen? Op welke db probeert het te werken?
Kent u hier adviezen over?
Antwoord 1, autoriteit 100%
Hij test uw server voor SQL-injectie, dit is specifiek een robuuste test die zal werken, zelfs als de Blinde SQL-injectie. Blinde SQL-injectie is wanneer een aanvaller SQL kan uitvoeren, maar er is geen zichtbare reactie. Als het http-verzoek minstens 15 seconden duurt, weet de aanvaller dat hij SQL kan uitvoeren en dat je MS-SQL draait. Na deze aanval zal hij het opvolgen met een xp_cmpdshell()om uw server te infecteren.
Antwoord 2, autoriteit 31%
Volgens http://bytes.com/topic/mysql/answers/ 888849-hacker-attempthet lijkt erop dat het probeert te draaien:
WACHTVERTRAGING ’00:00:15′
Zoals anderen al hebben opgemerkt, is het geen DOS-aanval (zoals ik oorspronkelijk aangaf), maar slechts een manier om eenvoudig te bepalen of de SQL Server kwetsbaar is en kan worden toegevoegd aan een lijst met hosts om later misschien verder te hacken.
Antwoord 3, autoriteit 10%
In eenvoudiger bewoordingen is hij/zij/het erg glad. Door de “WAITFOR DELAY…”-strategie te gebruiken, kan hij/zij/het zien of de server kwetsbaar is zonder iets te loggen. Er wordt gecontroleerd welke toegang de user connectionstring heeft in de db. En zoals @Rook al zei, DAT ZOU LEIDEN NAAR XP_CMDSHELL() dat de indringer toegang kan geven tot de server en zelfs tot je netwerk.
Antwoord 4, autoriteit 8%
Dat is een hexadecimale tekenreeks. Als je het vertaalt, vertaalt het zich in: “WACHTVERTRAGING ’00:00:15′”
Antwoord 5
WAITFORkan worden gebruikt voor op tijd gebaseerde SQL-injectie-aanvallen.
Tijdgebaseerde blinde SQL-injectie-aanvallen
Op tijd gebaseerde technieken worden vaak gebruikt om tests uit te voeren als er geen andere manier is om informatie van de databaseserver op te halen. Dit soort aanval injecteert een SQL-segment dat een specifieke DBMS-functie of een zware query bevat die een vertraging genereert. Afhankelijk van de tijd die nodig is om de serverreactie te krijgen, is het mogelijk om wat informatie af te leiden.Zoals je kunt raden, is dit type gevolgtrekkingsbenadering vooral handig voor blinde en diepe blinde SQL-injectieaanvallen.
Voor- en nadelen van op tijd gebaseerde aanvallen
Een belangrijk voordeel van deze techniek is dat het weinig tot geen invloed heeft op logboeken, vooral in vergelijking met op fouten gebaseerde aanvallen.In situaties waarin zware zoekopdrachten of CPU-intensieve functies zoals MySQL’s BENCHMARK( ) moet worden gebruikt, is de kans groot dat systeembeheerders beseffen dat er iets aan de hand is.
Dit beveiligingslek kan worden verholpen met de nieuwe SQL Server 2019/SQL Azure Database-functie:
Een veelvoorkomende bron van SQL Server-aanvallen is via webapplicaties die toegang hebben tot de database, waarbij verschillende vormen van SQL-injectieaanvallen worden gebruikt om informatie over de database te verzamelen. Idealiter wordt applicatiecode zo ontwikkeld dat SQL-injectie niet mogelijk is. In grote codebases die legacy en externe code bevatten, kan men er echter nooit zeker van zijn dat alle gevallen zijn aangepakt, dus SQL-injecties zijn een feit waar we ons tegen moeten beschermen. Het doel van functiebeperkingen is om te voorkomen dat sommige vormen van SQL-injectie informatie over de database lekken, zelfs wanneer de SQL-injectie succesvol is.
EXEC sp_add_feature_restriction <feature>, <object_class>, <object_name>WAITFOR-functiebeperking
Een blinde SQL-injectie is wanneer een toepassing een aanvaller niet de resultaten van de geïnjecteerde SQL of een foutmelding geeft, maar de aanvaller wel informatie uit de database kan afleiden door een voorwaardelijke query op te stellen waarin de twee voorwaardelijke vertakkingen een andere hoeveelheid tijd om uit te voeren. Door de responstijd te vergelijken, kan de aanvaller weten welke tak is uitgevoerd en zo informatie over het systeem te weten komen. De eenvoudigste variant van deze aanval is het gebruik van de WAITFOR-instructie om de vertraging te introduceren.
EXEC sp_add_feature_restriction N'Waitfor', N'User', N'MyUserName'