SQL Injection 당한 DB 의 스크립트 삭제 쿼리

Posted by 협회장 향수코디
2008.07.21 15:16 컴퓨터 엔지니어/DATABASE

SQL Injection 당한 DB 의 스크립트 삭제 쿼리

해당 DB 에 로그인 한 다음 쿼리 분석기로 다음과 같은 쿼리를 실행해 보자!!!!

---------------------------------------------------------------------------------------------------

DECLARE @T varchar(255), @C varchar(255);

DECLARE Table_Cursor CURSOR FOR

SELECT a.name, b.name

FROM sysobjects a, syscolumns b

WHERE a.id = b.id AND a.xtype = 'u' AND

(b.xtype = 99 OR

b.xtype = 35 OR

b.xtype = 231 OR

b.xtype = 167);

OPEN Table_Cursor;

FETCH NEXT FROM Table_Cursor INTO @T, @C;

WHILE (@@FETCH_STATUS = 0) BEGIN

  EXEC(

    'update ['+@T+'] set ['+@C+'] = left(

            convert(varchar(8000), ['+@C+']),

            len(convert(varchar(8000), ['+@C+'])) - 6 -

            patindex(''%tpircs<%'',

                      reverse(convert(varchar(8000), ['+@C+'])))

            )

      where ['+@C+'] like ''%<script%</script>'''

      );

  FETCH NEXT FROM Table_Cursor INTO @T, @C;

END;

CLOSE Table_Cursor;

DEALLOCATE Table_Cursor;

신고
이 댓글을 비밀 댓글로