問答專欄Q & A COLUMN
網絡攻防,一個是攻,一個是防
為什么在網絡攻防里數據庫重要?為什么我們要學數據庫?
下面我從攻擊方角度和防守方角度分別來詮釋學習數據庫的重要性
首先我們看看,
數據庫是什么?
簡單點說就是網站、應用系統等存儲各類信息的一個“倉庫”,作為管理者你可以對這些信息進行管理,包括增刪改查等,
舉個最簡單的例子,你微信的賬號和密碼就是存儲在微信系統的數據庫中的,你登錄時輸入的值就會和數據庫里對應的值就行比對,
如果一致那么密碼正確允許登錄,
你修改密碼就相當于修改了數據庫某一項的值,
你就相當于普通用戶,而數據庫管理員則擁有更高的權限,不同的管理員也有不同的權限,但一般來說是可以對所有普通用戶進行管理操作了。
那為什么數據庫如此重要?
上面我也說了,一般情況下,一個管理員是可以管理所有普通用戶數據的,
假如你獲得了微信系統的一個管理員權限,那么你幾乎可以查詢這個數據庫里所有普通用戶,也就是查看所有人的微信信息,包括賬號、密碼、身份信息、聯系信息、好友列表、支付密碼等,
而且這些數據庫管理員是可以執行操作系統指令的,
所以,如果拿到數據庫管理員權限,那我就相當于獲得了所有數據,然后再通過數據庫執行操作系統指令,進一步控制電腦服務器,這就是數據庫為什么如此重要的原因了!
實際上如果是真正做黑產的人,不考慮內網擴散其他服務器的情況下,獲得數據庫里面的敏感數據得到的收益是遠遠大于獲取一個肉雞的收益的。(肉雞:留下后門可隨時控制的電腦)
從攻擊角度來說
首先,我們來想一下,黑客攻擊的目的是什么?
不就是控制目標服務器或者拿取數據嗎?
如果最基本的數據庫原理都不會,指令都不會,就算給你數據庫接口你如何獲取數據?
而實際攻擊過程中,由于網站應用系統的不同,以及數據庫的不同,各自可能存在的漏洞不同,我們會存在各式各類的復雜情況,所以實際上我們需要學習的更多
攻擊數據庫以大家最常聽見的SQL注入來說,你需要學習
以上只是部分注入技能,你學會了過后不代表你就能利用漏洞獲取數據了,就像你只是剛剛學會了走路而已了,
實際注入過程中還會遇到防護措施阻攔,包括數據庫、網站系統本身的防護、關鍵字過濾等,以及web防火墻等,你還要學習如何繞過它們,才有可能真正獲取到數據!
也就是說你不僅要學會走路,還得學會跑,還得會跨欄,你才可能真正到達終點!
當然還有其他攻擊方式最終也能獲取到數據,這里就不擴展探討了,感興趣的可以關注我,不定期分享一些網絡攻防的技術。
從防守角度來說
作為防守者,尤其是你想要做一個優秀的防守者,保護你的數據不被黑客拿到,那么同樣的,你也需要了解剛才所說的一些數據庫的攻擊方式,數據庫原理等等,而且你還要學習更多防繞過方式!
因為你只有明確知道了如何攻擊,你才真正知道如何防御!
就像我們房子防御小偷一樣,小偷只需要一個窗戶就能進來,而我們為了不讓小偷進來,我們會看好門,看好窗等所有小偷有可能進來的地方!
評論0
加載中...
0
回答0
回答0
回答0
回答0
回答0
回答0
回答0
回答0
回答0
回答
