通过以下方式:一、使用错误消息;二、使用信息枚举;三、使用工具。攻击者可以通过向目标网站发送恶意的SQL语句,来触发错误消息。这些错误消息通常会包含有关目标网站所使用的数据库结构的信息,如表名、列名等等。
一、使用错误消息
攻击者可以通过向目标网站发送恶意的SQL语句,来触发错误消息。这些错误消息通常会包含有关目标网站所使用的数据库结构的信息,如表名、列名等等。攻击者可以利用这些信息来进一步破坏目标网站。攻击者可以使用以下方式来获取数据库结构:
输入非法的SQL语句,例如‘ or 1=1 --,这可以触发错误消息并泄露数据库结构信息。
通过尝试输入一些存在的表名和列名,攻击者可以通过错误消息来识别数据库结构的存在。
二、使用信息枚举
攻击者可以通过手动输入SQL查询语句来枚举目标网站的数据库结构。例如,攻击者可以使用“SELECT * FROM information_schema。tables”来获取目标网站中所有的表名。
三、使用工具
攻击者可以使用各种自动化工具来扫描目标网站,以获取其数据库结构。这些工具可以通过使用已知的漏洞或其他技术来自动化地获取目标网站的信息。
延伸阅读:
什么是SQL
结构化查询语言(Structured Query Language)简称SQL,是一种特殊目的的编程语言,是一种数据库查询和程序设计语言,用于存取数据以及查询、更新和管理关系数据库系统。
结构化查询语言是高级的非过程化编程语言,允许用户在高层数据结构上工作。它不要求用户指定对数据的存放方法,也不需要用户了解具体的数据存放方式,所以具有完全不同底层结构的不同数据库系统, 可以使用相同的结构化查询语言作为数据输入与管理的接口。结构化查询语言语句可以嵌套,这使它具有极大的灵活性和强大的功能。
文章标题:SQL注入时,攻击人员是怎样知道目标网站的数据库结构的,发布者:Flawy,转载请注明出处:https://worktile.com/kb/p/53199