SQL

MyBatis 是一种持久层框架,介于 JDBC 和 Hibernate 之间。但是 MyBatis 的推出不是只是为了安全问题,有很多开发认为使用了 MyBatis 就不会存在 SQL 注入了,真的是这样吗?
代码审计是使用静态分析发现源代码中安全缺陷的方法,能够辅助开发或测试人员在软件上线前较为全面地了解其安全问题,防患于未然,因此一直以来都是学术界和产业界研究的热点。
本文我将展示如何通过使用连接字符串属性欺骗主机名和应用程序名称来绕过这些限制。这些示例将包括SSMS和PowerUpSQL。对于需要应对旧应用的渗透测试人员和开发人员来说,这应该是很有用的。
在与Summit安全小组的成员一起进行安全研究的过程中,我们遇到了一个依赖于TDS(Tabular Data Stream,表格数据流)协议实现加密功能的应用程序。