SFX-SQLi i zrzut bazy danych do w postaci Xml

Jak wiadomo w MS SQL 2005/2008 można w zapytaniu wykorzystać klauzurę FOR XML.
Na tej stronie przedstawiono metodę na wydobycie całej bazy danych w postaci jednego ciągu znaków. Autor rozwija też program który pozwala na praktyczne przetestowanie podatności własnych systemów na tego typu technikę ataku ( bo można ten atak zaliczyć do SQL injection)
http://www.kachakil.com/papers/sfx-sqli-en.htm

0 komentarze:

Prześlij komentarz