SQL injection (makedonski)
Vrsta: Seminarski | Broj strana: 11 | Nivo: TFB Bitola

- Базата за податоци е програма од збирка на податоци. Датабазата за податоци нуди APIs за креирање, пристап и управување на податоците кој ги држе. И базата за податоци (Database-DB) може да биде интегрирана за нашата веб страна за да можеме да пристапиме до податоците кои ги сакаме без тешкотија. Базата за податоци држи повеке критични информации исто како : Кориснички имиња, лозинки, кредитни картички и други приватни информации кој можат да наштетат на многу клиенти. Значи базата за податоци мора да биде заштитена, но многу бази за податоци, сервери кој работат не се заштитени од нивните ранливости поради големи грешки во програмирањето. Да наброиме некој севери како на пример : MySQL(Open source), MSSQL, MS-ACCESS, Oracle, Postgre SQL(open source), SQLite и други...
- Што е SQL Injection
- Па можеме да речеме дека тоа е форма за логирање само на регистрирани корисници и е дозволен пристап да влезат на тоа место. Сега ние сакаме да го заобиколиме логирањето на корисникот и да влеземе како одобрен корисник. Ако скрипатата не е добро средена од програмерот ке имате среќа да влезете во базата на страницата. И можете да се конектирате на корисничкото име и лозинка како реален корисник меѓусобно со базата за податоци.
Избираме корисничко име од датабазата КАДЕ корисник='admin' и лозинка='7-MADRID'
Ако ја селектираме командата и податоците се точни ке имаме пристап. Замислете што би можело да направите ако е скриптата не средена. Тоа ја отвара вратата за "Хакерите" незаконски пристап до страната. Во овој пример напаѓачот може да ги внесе следните податоци за корисничко име или лозинка:
Корисник : a или 1=1--
Лозинка : празно
Селектирај корисник од датабазата Каде корисник='a' or 1=1-- и лозинка=''
Сега овај упад делува вистинито дури и ако не постои корисник со назив "a" затоа што 1=1 е секогаш вистински. И таму ја има администрационата панела на страницата. Таму можат да бидат и други комбинации за корисничко име и лозинка за игранје на загрозени страници. Можат и да се направат сопствени комбинации за пристап до администрациониот панел еве некој примери :
корисник:' or 1='1 лозинка:' or 1='1
корисник:' or '1'='1' лозинка:' or '1'='1'
корисник:or 1=1 лозинка:or 1=1
- Accessing Secret Data
SQL Injection не се работи само со забиколување на пристап до администрациониот панел туку истотака котистење за пристап до осетливи и приватни податоци од датабазата.
- Проверување на ранливост
На пример има некоја страна како следниот пример:

---------- CEO RAD MOŽETE PREUZETI NA SAJTU. ---------- 

www.maturski.org 

 

MOŽETE NAS KONTAKTIRATI NA E-MAIL: [email protected]