Ketika sebuah mesin hanya memiliki port 80 dibuka, Anda yang paling terpercaya pemindai kerentanan tidak dapat kembali sesuatu yang berguna, dan kau tahu bahwa selalu patch nya admin server, kita harus beralih ke web hacking. Injeksi SQL adalah salah satu jenis hacking web yang memerlukan apa-apa selain port 80 dan mungkin hanya bekerja bahkan jika Admin adalah patch-bahagia.Ini serangan terhadap aplikasi web (seperti ASP, JSP, PHP, CGI, dll) itu sendiri bukan pada web server atau layanan yang berjalan di OS.
Artikel ini tidak memperkenalkan sesuatu yang baru, SQL injection telah ditulis dan digunakan secara luas di alam bebas. Kami menulis artikel karena kami ingin dokumen beberapa pena-pengujian kami menggunakan injeksi SQL dan berharap bahwa ini mungkin dari beberapa gunakan kepada orang lain. Anda dapat menemukan trik atau dua tapi mohon periksa "9.0 Di mana saya bisa mendapatkan info lebih lanjut?"bagi orang-orang yang benar-benar layak mendapat kredit untuk mengembangkan banyak teknik dalam injeksi SQL.
Apa itu SQL Injection?
Ini adalah trik untuk menyuntikkan SQL query / command sebagai masukan mungkin melalui halaman web.Banyak halaman web mengambil parameter dari pengguna web, dan membuat SQL query ke database.Ambillah contoh ketika seorang user login, halaman web yang nama pengguna dan password dan membuat SQL query ke database untuk memeriksa apakah seorang pengguna telah name dan password yang validDengan SQL Injection, adalah mungkin bagi kita untuk mengirimkan crafted nama pengguna dan / atau password field yang akan mengubah query SQL dan dengan demikian memberikan kita sesuatu yang lain.
Apa yang anda perlukan?
Web browser. dalam hal ini anda bisa menggunakan internet explorer atau mozilla firefox.
Apa yang seharusnya Anda cari?
Cobalah untuk mencari halaman yang memungkinkan Anda untuk mengirimkan data, yaitu: halaman login, halaman Pencarian, umpan balik, dll Kadang-kadang, halaman HTML menggunakan perintah POST untuk mengirim parameter ke halaman ASP lain. Therefore, you may not see the parameters in the URL. Oleh karena itu, Anda mungkin tidak melihat parameter dalam URL.Namun, Anda dapat memeriksa kode sumber HTML, dan mencari "FORM" tag dalam kode HTML.Anda mungkin menemukan sesuatu seperti ini dalam kode HTML:
Segala sesuatu antara mempunyai potensi parameter yang mungkin bisa bermanfaat (mengeksploitasi secara bijaksana).
Apa jika Anda tidak dapat menemukan halaman yang membutuhkan input?
Anda harus melihat halaman seperti ASP, JSP, CGI, atau halaman web PHP.Cobalah untuk mencari terutama untuk URL yang mengambil parameter, seperti:
http://duck/index.asp?id=10
Bagaimana Anda menguji jika rentan?
Mulailah dengan kutipan satu trik.Input sesuatu seperti:
hi 'atau 1 = 1 --
Into login, atau sandi, atau bahkan dalam URL.Contoh:
- Login: hi 'atau 1 = 1 --
- Pass: hi' or 1=1-- - Pass: hi 'atau 1 = 1 --
- http://duck/index.asp?id=hi' or 1=1--
Jika Anda harus melakukan hal ini dengan bidang yang tersembunyi, hanya mendownload source HTML dari situs, menyimpannya dalam hard disk Anda, memodifikasi URL dan bidang tersembunyi sesuai.Contoh:
Jika keberuntungan ada di pihak Anda, Anda akan memperoleh login tanpa nama login atau password.
hanya itu yang penulis persembahkan.
mohon kritik dan saran
10 komentar:
Nice website, i had to use your google translator links to view it. They are very handy.
SQL Injection happens when a developer accepts user input that is directly placed into a SQL Statement and doesn't properly filter out dangerous characters.it is the hacking technique which attempts to pass SQL commands through a web application for execution by the backend database.
Define the SQL server and more interesting in which developed the software. In this good technology and more interesting so that can be used and enjoy it in this technology.
The fantastic technology shared on the site because in the post define all the information so that can be know that regarding post.
In this SQL so very interesting and enjoyable games shared on the site because in this games are used creative technology and enjoy it in this technology. Often people are very like it.
In the post has been discussed about the SQL and all the in sequence regarding post. It is incredibly enlightening and useable post shared we can be make out that and used it. It is pleasant and further informative also.
It is informative and more interesting post shared we can be know that and about the SQL and collect the information so that can be know that and used it.
The good and creative services we can be know that and understand regarding post. Most of the people are used and collect the information regarding post.
At home the post has been discussed about the SQL and all the in sequence regarding post. It is incredibly instructive and useable post shared we can be make out that and used it. It is pleasant and further informative also.
More often than not people are very like it and know that and how to work and used in this technology can be able to understand and know that regarding post.
Posting Komentar