web-dev-qa-db-ja.com

PostgreSQLデータベースにテーブル「sqlmapoutput」が存在します

私はクライアントのデータベースをテストしていて、ユーザーが作成したスキーマの1つにこの1つのテーブル "sqlmapoutput"がありました。これはPostgreSQL DBMSです。それがどうやってそこにやってきたのか、彼は知りません。テーブルにデータがありませんでした:

Table: sqlmapoutput
[0 entries]
+------+
| data |
+------+
+------+

チェックしたところ、彼のサイトにブールベースのブラインドsqliがあることがわかりました。それで彼のサイトが侵害された場合、なぜ誰かがこのテーブルをそこに残すのでしょうか? sqlmapのようなものがこのようなものを作成する理由はありますか?

PS:他の問題を説明する必要はなく、このテーブルプラザの存在にのみ焦点を当てます。

3
mystupidstory

これは、データベースで誰かが sqlmap を実行した結果です。 (具体的には ここ )これは

  • 正直なペンテスター:

    この場合、テーブルを削除して、発見された脆弱性を修正します。

  • 他の俳優:

    侵害されたすべてのデータを検討してください。これを引き起こした穴を検索して修正します。ユーザーがいる場合は、すべてのユーザーにパスワードのリセットを強制します。

3
Shelvacu

どのようにして到達したのかわからない場合は、問題があります。彼の入力フィールドの1つがSQLインジェクション攻撃に対して脆弱である可能性があります。犯人を追跡する必要があります。

これは正直なペンテスターの結果であると私は疑っています。しかし、shelvacuは正しいです。すべてのデータが危険にさらされていると考える必要があります。

0
Mark Buffalo