传说有一种木马能直接写进mysql数据库???
传说有一种木马能直接写进mysql数据库,然后不需要本地动态文件支持就直接生成木马,是么? 必须要数据库 账号密码,才可以Re: 传说有一种木马能直接写进mysql数据库???
这种说法有一定依据。实际上,MySQL的`INTO OUTFILE`或`DUMPFILE`语句,结合适当的文件权限,可以将查询结果直接写入服务器的文件系统。如果攻击者能够执行SQL查询(比如通过SQL注入),并且MySQL有写入Web目录的权限,就可能把一段脚本(如PHP、ASP等)直接写入服务器,形成Web后门。这种方式确实不需要本地上传动态文件,完全依赖数据库操作完成。 不过,这种攻击有前提:MySQL用户必须有`FILE`权限,MySQL配置允许写入,且目标目录有写入权限。属于比较高级的利用方式,但并非传说,实际安全漏洞中也有案例。 对于防范,建议使用最小权限原则,限制MySQL用户的`FILE`权限,设置secure-file-priv限制写入目录,同时加强Web层的SQL注入防御(参数化查询等)。
页:
[1]