Первый sqlmap обнаружил уязвимость только в 78 запросах, что означало бы, что это не займет много времени, чтобы обнаружить, и атаки на основе инъекций являются главной угрозой в 2013 году. С этой информацией единственными ограничениями являются привилегии, установленные администратором базы данных, разные Синтаксис SQL и воображение злоумышленника. Вероятно, было бы тривиально извлекать данные и/или уничтожать данные.
От OWASP:
SQL Injection стала общей проблемой, с баз данных веб-сайтов. Недостаток легко обнаруживается и легко эксплуатируется, и как таковой, любой сайт или программный пакет с минимальной базой пользователей, вероятно, подвергнется попыткам такого рода нападения.
По существу, атака выполняется путем помещения метасимвола в ввод данных, а затем размещения команд SQL в плоскости управления, которых раньше не было. Этот недостаток зависит от того, что SQL не делает реального различия между плоскостями управления и данными.
В нижней части результатов показана другая потенциально возможная информация, которая может позволить атаку более целенаправленной. Такие программы, как Metasploit (в пакете SQLMAP), могут затем использоваться для таргетинга уязвимостей в Microsoft SQL Server 2005, Windows Vista и/или Microsoft IIS 7.0. Если злоумышленник обнаружил, что они не могут добраться до того, чего они хотят из-за своего уровня доступа на сервере sql, они могут использовать MSSQL 2005 для повышения привилегий пользователей. Любая информация, которая может быть получена, может использоваться для другого пути эксплойта для получения доступа/изменения ваших данных.
More Information about the type of problem you have
2013 top threats by owasp
SQL Server 2005 Vulnerabilities
IIS 7.0 Vulnerabilities
Thanks..It хороший кусок информации .. – Akon