Что делает этот запрос SQL в URL-адресе?

Question

Я пытаюсь понять, что делает этот SQL запрос в URL.

http://thewebsite.com/SupplierWeb/Login.jspstatus=3&WFer=4486 И 1 = 1 UNION ALL SELECT 1, NULL, '', table_name FROM information_schema.tables ГДЕ 2> 1 - / ** /; EXE C xp_cmdshell ('cat ../../../etc/passwd')#

Пожалуйста, сообщите

Answer 1

Как указал Цепеш, это неприятное намерение SQL Инъекции. Выполнив AND 1=1 UNION ALL, можно выполнить остальную часть запроса.

Он попытается получить информационную схему таблиц вашей базы данных. Затем он попытается выполнить команду linux / unix, чтобы получить файл, который может содержать имена пользователей и пароль в вашей системе.