让我们说网站abcd.com的IP地址是258.23.45.32。 我用asp.net中的连接字符串作为 connectionString =“Data Source = 258.23.45.32; Initial Catalog = Login; Persist Security Info = True; User ID = sa; Password = passwordgoeshere; providerName =”System.Data.SqlClient“
每次我动态更改连接字符串的密码并测试连接是否正常。这将是粗暴的密码黑客攻击,但这种方法会起作用吗? 在购买自己的SQL Server Windows主机软件包之前我很好奇,因为Linux使用MySQL。 如果连接有效,那么无论如何我都可以获得数据库名称和所有其他信息。
我想知道这种技术是否适用于任何PC到任何网站(我怀疑)。 请详细说明一下。
答案 0 :(得分:0)
你提出了一个非常广泛的问题,所以让我们分解一下。您的问题与数据篡改客户端给服务器的字符串有关。您的变量现在用分号分隔:
Data Source=258.23.45.32;
Initial Catalog=Login;
Persist Security Info=True;
User ID=sa;
Password=passwordgoeshere;
providerName="System.Data.SqlClient"
回答您的初始问题:每次我动态更改连接字符串的密码并测试连接是否正常。这将是粗暴的密码破解攻击,但这种方法会起作用这个问题的答案是,但它是蛮力攻击的变种,虽然是一个残酷笨拙和缓慢的,而且 可能< / em> 如果服务器配置错误,则可以正常工作。
然后你声明/询问如果连接有效,那么无论如何我都可以获得数据库名称和所有其他信息。同样,这完全取决于数据库的配置方式。假设用户没有 SPECIFIC 数据库的权限,那么您将无法访问任何内容。您需要升级您的权限。
然后你问:我想知道这种技术是否适用于任何网站(我怀疑)。这可以在任何机器上运行到任何网站。服务器没有机制来确定发起的连接是否可信。开发人员 可以 做的是配置服务器以警告,阻止,放弃未经授权的尝试。