mysql存在注入,并且注入的sleep语句如果传入一个足够大的参数,比如:sleep(9999999999).

如果数据库用的是myisam引擎,且注入点是某个会锁表的语句(insert,replace,update,delete),那么整个数据表的访问都会被阻塞。

使用该表的所有应用的读库请求都会被阻塞。

如果数据库使用的是主从分离的架构,那么Master和Slave的同步会被sleep语句阻塞,导致从库无法从主库正常同步数据。一些依赖于主从同步的应用也会无法正常工作。

就算仅仅是读操作,经过有限次的请求,也会很快的达到数据库的max_connections限制,而导致数据库拒绝服务。

漏洞证明:

注入语句update test_inj set xx=1 and sleep(9999999999);

mysql> select * from test_inj;

请求会被阻塞。直到手动杀死那个锁表的语句。

线上实验后果会比较严重,就不贴真实的例子了。测试者请用自己搭建的数据库。不要害人。

修复方案:

禁用mysql的sleep函数。或者修改它的sleep上限,拒绝不合理的超长sleep。现实中很少用到这个sleep功能,就算遇到需要sleep的场景,也可以通过外部应用来实现sleep。

0

该内容对我有帮助

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。

mysql时间 注入 sleep_mysql注入sleep语句引发的拒绝服务相关推荐

  1. mysql注入漏洞语句_mysql注入sleep语句引发的拒绝服务

    2012-2-15 9:26 Wednesdaymysql注入sleep语句引发的拒绝服务 mysql存在注入,并且注入的sleep语句如果传入一个足够大的参数,比如:sleep(9999999999 ...

  2. mysql注入之盲注语句汇总

    目录 mysql注入之盲注 常用语句汇总 基于bool盲注 查询当前数据库 基于时间的盲注 盲注常用函数: regexp正则注入 like匹配注入 特殊的盲注之报错注入 mysql注入之盲注 什么是盲 ...

  3. mysql 堆叠查询_SQL 注入方法 - 盲注、报错注入、UNION查询注入与堆叠注入

    盲注 关键点是 根据页面返回内容分析 Payload 中的问题是否为真,然后通过多次测试遍历出想要的数据 布尔盲注 目标地址:http://newspaper.com/items.php?id=2 对 ...

  4. mysql中文注入_SQL注入之Mysql报错注入

    --志向和热爱是伟大行为的双翼. 昨天偷懒了没学什么东西,先自我反省一下 - -. 今天认真的学习了一下Mysql报错注入利用方法及原理,好久之前就像认真的学一下这个了,是在上海市大学生网络安全大赛中 ...

  5. mysql手工注入imformation_SQL 注入总结

    0x01 什么是SQL注入 sql注入就是一种通过操作输入来修改后台操作语句达到执行恶意sql语句来进行攻击的技术. 0x02 SQL注入的分类 按变量类型分 数字型 字符型 按HTTP提交方式分 G ...

  6. mysql 永真_sql注入

    Sql注入 Sql注入成因: 1)转义字符处理不当(如',--,/**/,会截断原有的语句,执行新语句): 2)类型处理不当(如接受的是整型的参数,并没有校验也可以接受字符型数据) 3)查询语句的组装 ...

  7. sql mysql 手注_mysql注入漏洞手注

    mysql: 报错注入: 以http://www.hexie.com/main/articleDetail.php?id=757 为例子: http://www.hexie.com/main/arti ...

  8. mysql重复记录大于十的数据库_MySQL专题10之MySQL序列使用、MySQL处理重复数据、MySQL以及SQL的注入...

    1.MySQL序列使用 -  MySQL序列是一组整数:1,2,3...,由于一张数据表只能有一个字段自增主键,如果你想实现其他字段也实现自动增加,就可以使用MySQL序列来实现. -  使用AUTO ...

  9. mysql中获取一天、一周、一月时间数据的各种sql语句写法

    来源:http://www.jb51.net/article/50505.htm 今天抽时间整理了一篇mysql中与天.周.月有关的时间数据的sql语句的各种写法,部分是收集资料,全部手工整理,自己学 ...

最新文章

  1. 作为一名程序员,最大的成就感来自哪里?
  2. solaris下使用USB 海量存储设备
  3. 图像处理与计算机视觉:基础,经典以及最近发展(3)计算机视觉中的信号处理与模式识别
  4. 小米kali linux蓝牙,小米筆記本在Kali Linux下所遇問題部分解決方案(持續更新中)...
  5. 在SAP云平台ABAP编程环境上编写第一段ABAP程序
  6. linux能运行英魂之刃吗,英魂之刃需要什么电脑配置
  7. asp.net数据库连接php代码,ASP.NET 数据库连接
  8. 杭电------2097 Sky数(C语言写)
  9. 怎样用java生成GUID与UUID
  10. 微软在线实验室启用谷歌的reCAPTCHA,我们又丢失了一个好东东
  11. python获取本机IP、探测指定URL的IP等信息、生成格式化时间
  12. [LeetCode][easy]Create Target Array
  13. TCP/IP详解 卷1:协议—概述
  14. 我要彻底搞懂SSD网络结构(1)VGG部分
  15. 实验室设备管理系统mysql
  16. 使用Auto.js庖丁对Pro Snapshot快照加密的解密打包教程
  17. ocr人脸识别是什么原理,ocr的工作原理是什么
  18. 雨林木风(Ylmf OS)操作系统 点评
  19. ZendStudio使用
  20. #BDA#笔记#阶段二:实践报告撰写备考

热门文章

  1. 如何合理布局网站关键词
  2. RHCE 7 培训笔记
  3. jy-04-JAVASE02——HTTP
  4. [Scala] Flink项目小彩蛋(六)
  5. android 开发中不可不知的技巧
  6. Ironsource sdk在Unity 2019.3.x下代码过时bug
  7. except 和 except for
  8. jsx中文是什么牌子口红_娇尚秀JSX方管口红怎么样 – 爱分享
  9. 域名注册使用,的坑。
  10. 建立管道大数据的可行性分析