2. Phần thực hành LAB :
2.3.4.Dạng tấn công sử dụng Shutting down :
- Đây là dạng tân công mà khi các hacker không còn cách nào khác để xâm nhập trái phép vào hệ thống máy chủ Web thông qua ứng dụng Web bị lỗi .
- Lúc này hacker sẽ truyền vào ô nhập username một đoạn như sau : ‘;SHUTDOWN WITH NOWAIT; -- .Để yêu cầu tắt toàn bộ hệ thống máy chủ Web .
- Trong trường hợp này, ta vẫn sẽ sử dụng 2 trang .Một trang HTML để hiển thị form nhập dữ liệu và một trang ASP dùng để xử lý thông tin nhập từ phía người sử dụng .
Ví dụ : nếu hacker nhập một chuỗi sau vào trong ô nhập dữ liệu username của trang “client2.htm” là : ’;SHUTDOWN WITH NOWAIT;-- .Lúc này câu truy vấn sẻ được gọi lên và thực thi yêu cầu vừa được gửi tới trực tiếp lên toàn bộ hệ thống của máy chủ Web chứ không riêng gì ứng dụng Web .
- Và câu truy vấn này là hợp lệ với các điều kiện của ứng dụng Web và sẻ được thực thi trực tiếp vàohệ thống máy chủ Web . Lúc này hacker đương nhiên hợp pháp được quyền tương tác lên máy chủ Web như tắt hệ quản trị cơ sở dữ liệu Microsoft SQL Server trên máy chủ thông qua ứng dụng Web bị lỗi SQL này một cách hợp lệ .
- Ví dụ về Shutting down :
• Sử dụng giao diện của ứng dụng Web bị lỗi SQL Injection .
• Hacker sử dụng câu lệnh “’; SHUTDOWN WITH NOWAIT;--” .Đưa vào ô nhập username và gửi yêu cầu tới ứng dụng Web .
• Ứng dụng Web sẽ từ chối vì username này không hợp lệ .
• Và đây là hệ quản trị cơ sở dữ liệu bị hacker shutdown .