现在很多大型网站,像银行、政府网站一般采用的是JSP+Oracle,从WEB程序来看,普遍存在的问题还是很严重的,希望广大的程序员管理人员注意这方面的安全隐患。. 今天我们的目标也是JSP+Oracle的网站,对它进行SQL Injection的测试,希望达到引伸、开拓这种技术的目的。日标站点:http://www.****jp.cn/viewBulletin.do?type=C&bulletin_id=200404010797。如图1所示。
图1
首先我们看看Oracle的系统数据库:
all_tables 存放当前ID和其他用户的所有表。
user_tables 存放当前用户所有表。
user_tab_columns 存放当前用户表的所有列。
这些东西是后面操作的基础,是非常重要的。下面就看具体的操作过程了。
相关JSP+Oracle SQL Injection之旅