SQL, τα αρχικά της οποίας σημαίνουν Structured Query Language είναι η δομημένη γλώσσα η οποία διαχειρίζεται μια Βάση Δεδομένων. Φτάνει όμως με τα νόμιμα και τις θεωρίες :D
Τι είναι SQL Injection?
SQL Injection είναι ο τρόπος με τον οποίο βρίσκουμε μια τρύπα στην βάση του άλλου, και με κατάλληλες εντολές μπορούμε να δούμε τα δεδομένα της. (Μη ρωτήσετε γιατι)
Με τo SQL Injection παίρνουμε δεδομένα απο μία βάση.Υπάρχουν αρκετοί τύποι SQL Injection:
Πρέπει να γνωρίζετε οτι υπάρχουν βάσεις δεδομένων οι οποίες είναι καλά προστατευμένες και καμία απο τις παραπάνω επιθέσεις δεν λειτουργούν. Εμείς στην ανάλυσή μας όμως θα υποθέσουμε οτι λειτουργούν xD.
Incorrectly filtered escape characters
Incorrect type handling
Magic String
Blind SQL Injection
Conditional Responses
Conditional Errors
Οι τύποι αυτοί του SQL Injection χρησιμοποιούνται ανάλογα με το τι γνώσεις έχουμε πάνω στην βάση του θύματος, και το πώς θέλουμε να το χειριστούμε.
Επίσης υπάρχουν κάποια πράγματα τα οποία πρέπει να ξέρουμε πάνω σε μια βάση. Αυτά τις περισσότερες φορές πρέπει να τα βρούμε μόνοι μας. Τέτοια στοιχεία είναι το όνομα του πίνακα της βάσης π.χ. users, admins κ.λ.π. και τα ονόματα των πεδίων του πίνακα, π.χ. username, password, phone, email κ.λ.π. Αυτά τα στοιχεία τα βρίσκουμε είτε δοκιμάζοντας ονόματα μόνοι μας (πρέπει να είμαστε και λίγο τυχεροί σ'αυτό :D) είτε προκαλώντας εσκεμένα errors για να μας αποκαλύψουν χρήσιμα στοιχεία για την βάση.Πρέπει να γνωρίζετε οτι υπάρχουν βάσεις δεδομένων οι οποίες είναι καλά προστατευμένες και καμία απο τις παραπάνω επιθέσεις δεν λειτουργούν. Εμείς στην ανάλυσή μας όμως θα υποθέσουμε οτι λειτουργούν xD.
Αναλυτικότερα για το πώς χρησιμοποιούνται οι τύποι και παραδείγματα θα πούμε στο .::Talking about SQL Injection v2::.
Copyright by R3l04D T34m®
Photo by _Airboy_
Thanks for reading...
Photo by _Airboy_
Thanks for reading...
Δεν υπάρχουν σχόλια:
Δημοσίευση σχολίου