Gịnị bụ ntụtụ SQL?

The ọnụ ọgụgụ nke na saịtị na peeji nke na weebụ na-eto eto nwayọọ nwayọọ. E maka mmepe nke ndị niile na-ike. Na novice Web mmepe na-eji nwedịrị ike ịta na koodu ochie. Na ọ na-emepụta a otutu loopholes maka omempụ na hackers. Karịa ha. Otu n'ime ndị kasị classic vulnerabilities - SQL-ogwu ogbugba.

A bit nke ozizi

Ọtụtụ ndị maara na ọtụtụ ndị na saịtị na ọrụ na netwọk na-eji SQL database nchekwa. Nke a bụ a ahaziri ajụjụ asụsụ na-enye gị ohere ịchịkwa ma jikwaa nchekwa nke data. E nwere ọtụtụ dị iche iche na nsụgharị nke nchekwa data management usoro nchekwa data - Iha, MySQL, Postgre. N'agbanyeghị nke aha na ụdị, ha na-eji otu ajụjụ data. Ọ bụ ebe a na ụgha nwere vulnerability. Ọ bụrụ na Mmepụta na-emezughị na-eme nke ọma na ntukwasi-obi na-arịọ, otu ebibi nwere ike iri uru nke a na-eji pụrụ iche si eme inweta ohere na nchekwa data, na mgbe - na ndị niile na saịtị management.

Iji zere ọnọdụ ndị dị otú ahụ, i kwesịrị ekwesị na-ebuli koodu ma anya nyochaa na a n'ụzọ nke a arịrịọ a na-esichara.

Lelee maka SQL-ọgwụ

Iji gosi na ọnụnọ nke a vulnerability na netwọk nwere a arọ nke okokụre akpaghị aka software na usoro. Ma ọ bụ omume na-ebu a dị mfe ego aka. Iji mee nke a, na-aga otu n'ime ule na saịtị na na adreesị mmanya na-agbalị ime ka a nchekwa data njehie. Dị ka ihe atụ, a script na saịtị ike aka arịrịọ na adịghị ewepụtụ ha.

Dị ka ihe atụ, e nekiy_sayt / index.php? Id = 25

Ihe kacha ụzọ - itinye 25 mgbe quote na izipu arịrịọ. Ọ bụrụ na ọ dịghị njehie mere, ma na saịtị ahụ na nyo arịrịọ niile na-edozi n'ụzọ ziri ezi, ma ọ bụ na-nkwarụ na ntọala nke ha mmepụta. Ọ bụrụ na a na peeji nke a reloaded na nsogbu, ahụ vulnerability ka SQL-ọgwụ bụ.

Mgbe ọ chọpụtara, ị nwere ike na-agbalị ka tufuo ya.

Iji mejuputa a vulnerability mkpa ịmata a nta banyere SQL-gbara ajụjụ ìgwè. Otu n'ime ha - Union. Ọ na-eweta ọnụ ọtụtụ ajụjụ na-arụpụta n'ime otu. Ya mere, anyị nwere ike gbakọọ nọmba nke ubi na table. GOSIRI mbụ ajụjụ bụ:

• nekiy_sayt / index.php? id = 25 Union Họrọ 1.

N'ọnọdụ ka ukwuu, a na ndekọ ga-n'ịwa njehie. Nke a pụtara na ọnụ ọgụgụ nke ubi ahaghị nhata 1. N'ihi ya, ị na-ahọrọ nhọrọ nke 1 ma ọ bụ ukwuu, ọ bụ ike ka ha kpọmkwem ọnụ ọgụgụ:

• nekiy_sayt / index.php? id = 25 Union Họrọ 1,2,3,4,5,6.

Nke ahụ bụ, mgbe njehie agakwaghị egosi, ọ pụtara na ọnụ ọgụgụ nke ubi maa.

E nwekwara ihe ọzọ ngwọta nsogbu a. Ihe atụ, mgbe a ọnụ ọgụgụ buru ibu nke ubi - 30, 60 ma ọ bụ 100. Nke a iwu GROUP BY. Ọ iche iche na ihe a njụ-ajụjụ na ihe ọ bụla ahịhịa ya, n'ihi na ihe atụ id:

• nekiy_sayt / index.php? id = 25 GROUP BY 5.

Ọ bụrụ na njehie na a natara, mgbe ahụ, na ubi karịa 5. N'ihi ya, nọ n'ọnọdụ nhọrọ si a pụtara sara mbara, ọ bụ omume na-gbakọọ olee otú ọtụtụ n'ime ha n'ezie.

Ihe atụ a SQL-ọgwụ - n'ihi na beginners ndị chọrọ na-agbalị onwe-ha na ule nke ya na saịtị. Ọ dị mkpa ka icheta na n'enweghị ikike ohere ọzọ dị n'isiokwu nke Criminal Usoro.

The isi ụdị nke ọgwụ

Mejuputa vulnerability site SQL-ọgwụ na ọtụtụ embodiments. Next bụ ndị kasị ewu ewu na usoro:

• The Union na ajụjụ ndị SQL ogwu ogbugba. A mfe ihe atụ nke ụdị esesịn a na-enyocha n'elu. Ọ na-ghọtara ruru otu njehie ịlele abata data, nke na-anabataghị.

• Error dabeere SQL ogwu ogbugba. Dị ka aha-apụta, a ụdị na-eji ihe njehie, eziga okwu ekewet syntactically adabaghị. Mgbe ahụ e nwere interception nke nzaghachi nkụnye ndị eji isi mee, chebara ya echiche nke nwere ike rụrụ mgbe e mesịrị SQL-ogwu ogbugba.

• Tụkwasa gbara ajụjụ ndị SQL ogwu ogbugba. Nke a vulnerability kpebisiri ike site n'ịrụ soje arịrịọ. Ọ e ji na mgbakwunye na njedebe nke ihe ịrịba ama ";". Nke a na obibia a na-emejuputa atumatu iji nweta mmejuputa ịgụ na ide data ma ọ bụ arụmọrụ usoro ọrụ, ma ọ bụrụ na ihe ùgwù ekwe ka ya.

Software ịchọ SQL-ọma

Ọ bụ n'ebe ahụ n'ihi na SQL-ogwu ogbugba, usoro ihe omume na-emekarị nwere abụọ mmiri - a saịtị iṅomi maka na o kwere omume ọma na-eji ha inweta ohere ka data. E nwere ụfọdụ ngwaọrụ nke fọrọ nke nta niile mara nyiwe. Ha arụmọrụ ukwuu mmemmem ịlele website ịgbawa gị SQL-ogwu ogbugba.

Sqlmap

Nnọọ ike nyocha na-arụ ọrụ na kasị ọdụ data. Ọ na-akwado ụzọ dị iche iche nke mmejuputa SQL-ogwu ogbugba. Ọ nwere ike na-akpaghị aka na-aghọta ụdị paswọọdụ hash cracking na ọkọwa okwu. Ugbu a na-arụ orụ file bulite na download si a nkesa.

Nwụnye na Linux na rụrụ iji iwu:

• git mmepụta oyiri https://github.com/sqlmapproject/sqlmap.git sqlmap-Nrụpụta,
• cdsqlmap-Nrụpụta /,
• ./sqlmap.py --wizard.

Maka Windows dị ka otu nhọrọ na iwu akara na onyeōzi ọrụ interface.

jSQL Ọgwụ

jSQL Ọgwụ - a cross-ikpo okwu na ngwá ọrụ na-anwale na ojiji nke SQL ọma. Dere na Java, otú ahụ ka usoro a ga-arụnyere JRE. Ike aka inwe arịrịọ, Post, nkụnye eji isi mee, kuki. Ọ nwere a adaba onyeōzi interface.

The echichi nke a software ngwugwu bụ dị ka ndị a:

wget https://github.com/`curl -s https: //github.com/ron190/jsql-injection/releases | grep-E -o '/ron190/jsql-injection/releases/download/v[0-9]{1,2}.[0-9]{1,2}/jsql-injection-v[0-9] . {1,2} [0-9] {1,2} .jar '| isi-n 1`

Launching bụ site na iji iwu Java -jar ./jsql-injection-v*.jar

Iji malite ule na saịtị na SQL-vulnerability, mkpa ka i tinye adreesị na n'elu ubi. Ha dị iche iche maka nweta na post. Na a mma N'ihi ya, listi tebụl ga-egosi na ekpe window. I nwere ike na-ele ha na-amụta ụfọdụ ozi nzuzo.

tab «Admin page» eji chọta ndutịm ogwe. On ya site pụrụ iche ndebiri na-akpaghị aka na-enyocha usoro dere ùgwù ọrụ. Site ha na ị nwere ike nweta dị nnọọ a hash nke paswọọdụ. Ma o nwere na toolbox nke usoro ihe omume.

Chọta niile ọma na ọgwụ dị mkpa ase, na ngwá ọrụ ga-ekwe ka ihe nkesa na-jupụta na gị faịlụ ma ọ bụ, ọzọ, download ya si n'ebe.

SQLi Dumper v.7

Nke a na usoro - mfe iji ngwá ọrụ na-achọta na mmejuputa SQL ọma. Ọ na-arụpụta ihe UN dabeere na-akpọ Dọkas. Ha ndepụta nwere ike ịchọta na Internet. Dorca maka SQL-ọgwụ - a bụ ihe pụrụ iche ndebiri nke search gbara ajụjụ. Na enyemaka ha, i nwere ike ịhụ nwere ngwangwa saịtị site ọ bụla search engine.

Tools maka ọzụzụ

Itsecgames.com na saịtị e a pụrụ iche set ngwaọrụ na-enye ohere ka ihe atụ na-egosi otú e si eme SQL injection ma nwalee ya. Na iji rite uru, ọ dị mkpa ka ibudata ma wụnye. Archive nwere a set nke faịlụ, nke bụ ihe owuwu nke saịtị. Iji wụnye ya ga-mkpa na ẹdude usoro nke set of Apache sava weebụ, MySQL na PHP.

Itopusi Archive na a web nkesa nchekwa, ị ga-aga na okwu banyere mgbe wụnye a software. A na peeji nke na ọrụ ndebanye. Ebe ị chọrọ ịbanye gị ozi na pịa «Mepụta». N'ịga onye ọrụ a ọhụrụ na ihuenyo, usoro kpaliri gị họrọ otu n'ime ule ikpe. Otu n'ime ha e nwere ma kọwara ogwu ogbugba, na ọtụtụ ndị ọzọ ule ihe.

Ọ bụ uru na-atụle ihe atụ nke SQL-ọgwụ ụdị Nweta / Search. Ebe mkpa ka ị họrọ ya na pịa «Hack». Tupu onye ọrụ ga-egosi, na search eriri n'iṅomi a nkiri na saịtị. Idozi movies nwere ike ịbụ ogologo oge. Ma, e nwere naanị 10. Dị ka ihe atụ, i nwere ike na-agbalị itinye Iron Man. Ọ ga-egosi ihe nkiri ahụ, mgbe ahụ na saịtị ahụ na-arụ ọrụ, na tebụl ya nwere. Ugbu a, anyị nwere na-elele ma ọ bụrụ na pụrụ iche script nzacha, akpan akpan see okwu. Iji mee nke a, tinye 'na adreesị mmanya. " Ọzọkwa, a na-aghaghị ime mgbe film aha. The saịtị ga-enye ihe njehie Error: Ị nwere njehie gị SQL syntax; ịlele ntuziaka na onyeọrụ gị MySQL server version maka nri syntax iji nso '%' 'na akara 1, nke na-ekwu na ihe odide ka na-adịghị edozi n'ụzọ ziri ezi. N'ihi ya, i nwere ike na-agbalị ịnọchi anya gị arịrịọ. Ma, anyị ga-akpa gbakọọ nọmba nke ubi. Ọ na-eji maka nke a n'usoro site, nke na ẹkenam mgbe ruturu: http://testsites.com/sqli_1.php?title=Iron+Man 'n'usoro site 2 - & edinam = search.

Iwu a na-egosiputa ihe ọmụma banyere ihe nkiri ahụ, ya bụ, ọnụ ọgụgụ nke ubi dị ukwuu karịa 2. The abụọ hyphen na-agwa na ihe nkesa na ndị ọzọ na-arịọ ga-tụfuo. Ugbu a, anyị nwere idozi, na-etinye na-amụba mkpa ka anya dị ka njehie na-adịghị biri ebi. Na njedebe, ọ na-enyo na ubi ga-7.

Ugbu a ọ bụ oge na-ihe bara uru nke isi. Ga-ubé gbanwee arịrịọ na adreesị mmanya, na-eweta ya a ụdị: http://testsites.com/sqli_1.php?title=Iron+Man 'n'otu họrọ 1, nchekwa data (), onye ọrụ (), 4, paswọọdụ, 6, 7 site na ọrụ - & edinam = search. Dị ka a n'ihi nke ya, mmejuputa iwu ga-egosipụta eriri na paswọọdụ hashes, nke nwere ike mfe converted n'ime ihe kwere nghọta na akara iji otu nke online ọrụ. A conjured a obere na ekemende a ubi aha na a nbanye, i nwere ike inweta ohere ka onye ọzọ ntinye, dị ka admin nke saịtị.

The ngwaahịa nwere a ibu umu ogwu ogbugba na ụdị, na nke na-eme. Ọ ga-eti na ngwa ndị a nkà na netwọk na ezigbo saịtị nwere ike a mpụ iwe.

Ọgwụ na PHP

Dị ka a na-achị, ndị PHP-koodu na bụ maka na ọ dị mkpa nhazi arịrịọ na-abịa site ọrụ. Ya mere, n'oge nke a n'ogo na ị chọrọ iru a ozize megide SQL-ọgwụ na PHP.

Na mbụ, ka anyị nye ihe ole na ole dị mfe ụkpụrụ nduzi, na ndabere nke na ọ bụ na ọ dị mkpa ime otú ahụ.

• Data ga-mgbe-esichara tupu a na-etinye n'ime nchekwa data. Nke a nwere ike mere ma site na iji ẹdude okwu, ma ọ bụ site na-ahazi gbara ajụjụ aka. N'ebe a kwa, ga-gaa na akaụntụ na ọnụọgụ ụkpụrụ na-converted na ụdị ihe dị mkpa;
• Izere kpaliri dị iche iche akara owuwu.

Ugbu a a nta banyere iwu nke chikota gbara ajụjụ na MySQL na-echebe megide SQL-ogwu ogbugba.

Na-eru ọ bụla okwu ajụjụ ọ dị mkpa ikewara data si SQL Keywords.

• Họrọ * SITE table EBEE aha = Zerg.

Na a nhazi, usoro nwere ike na-eche na Zerg - aha nke ọ bụla n'ọhịa, otú ị chọrọ ka itiba ọ na-eto eto ibe.

• Họrọ * SITE table EBEE aha = 'Zerg'.

Otú ọ dị, e nwere mgbe ụfọdụ uru onwe ya nwere ruturu.

• Họrọ * SITE table EBEE aha = 'Côte d'Ivoire'.

Ebe a na-eme akụkụ nke Côte d, na ndị fọdụrụ nwere ike na-aghọta ka a otu, nke, N'ezie, ọ bụghị. Ya mere, ihe njehie emee. Mgbe ahụ ị chọrọ ụdị echetakwa data. Iji mee nke a, na-eji a backslash - \.

• Họrọ * SITE table EBEE aha = 'cat-d \' Ivoire '.

All nke n'elu-ezo aka ahịrị. Ọ bụrụ na ihe na-ewe ebe na a ọnụ ọgụgụ, mgbe ahụ, ọ na-adịghị mkpa ọ bụla ruturu ma ọ bụ slashes. Otú ọ dị, ha ga-achọrọ forcibly iduga chọrọ data ụdị.

E nwere na-atụ aro na ubi aha ga-nchọ na backquotes. Nke a na akara bụ na n'aka ekpe nke keyboard, tinyere a tilde "~". Nke a bụ iji hụ na MySQL ike n'ụzọ ziri ezi iche na aha nke ubi site gị isiokwu.

Dynamic ọrụ na data

Ọtụtụ mgbe, ka ọ bụla data site na nchekwa data iji gbara ajụjụ, eme dynamically. Dị ka ihe atụ:

• Họrọ * SITE table EBEE nọmba = '$ nọmba'.

N'ebe a, agbanwe $ ọnụ ọgụgụ na-gafere dị ka ịchọpụta uru nke ubi. Gịnị ga-eme ma ọ bụrụ na ọ na-akawanye 'Côte d'Ivoire'? Error.

Iji zere nke a nsogbu, n'ezie, i nwere ike na-agụnye "anwansi ruturu" ntọala. Ma ugbu a data ga-ekpuchi ebe ndị dị mkpa na-adịghị mkpa. Ke adianade do, ma ọ bụrụ na koodu e dere site n'aka, i nwere ike na-emefu a obere oge ike eguzogide cracking usoro onwe ya.

Maka onwe ha na mgbakwunye na nke a ịsụ na ịgba ọhịa nwere ike iji mysql_real_escape_string.

$ Number = mysql_real_escape_string ($ nọmba);

$ Year = mysql_real_escape_string ($ afọ);

$ Ajụjụ = "Fanye BANYE table (nọmba, afọ, na klas) Ụkpụrụ ( '$ nọmba', '$ afọ', 11)".

Ọ bụ ezie na koodu na ụba na olu, ma nwere ike na ọ ga-arụ ọrụ ka odi mfe.

placeholders

Placeholders - a ụdị nrịbama n'ihi na nke usoro ghotara na nke a bụ ebe ị chọrọ ka ịnọchi anya a pụrụ iche ọrụ. Dị ka ihe atụ:

$ Sate = $ mysqli-> kwadebe ( "Họrọ District SITE Number EBEE aha =?");

$ Sate-> bind_param ( "s", $ nọmba);

$ Sate-> igbu ();

Nke a na ngalaba nke koodu na-ewe a ọzụzụ arịrịọ template na mgbe jikọrọ agbanwe nọmba, na kpere ya. Nke a na obibia-enye gị ohere ahụ kewara ajụjụ nhazi na ya, mmejuputa iwu. N'ihi ya, a pụrụ ịzọpụta ya site n'iji obi koodu na-SQL-.

Gịnị nwere ike otu ebibi

Protection System - a dị nnọọ mkpa ihe na-akpata, nke ike-eleghara anya. N'ezie, a mfe kaadị azụmahịa saịtị ga-adị mfe iji weghachi. Ma ọ bụrụ na ọ bụ nnukwu portal, ọrụ, forum? Gịnị ga-eme ma ọ bụrụ na ị na-eche banyere nche?

Akpa, a hacker ike imebi iguzosi ike n'ezi ihe ma na-isi na wepu ya kpam kpam. Ma ọ bụrụ na saịtị nchịkwa ma ọ bụ hoster adịghị eme ka a ndabere, ị ga-enwe ike. Karịsịa ihe nile, onye ọjọọ, cracking a otu site, nwere ike ịga ndị ọzọ gwa ke otu nkesa.

Next bụ na-ezu ohi nke onye ozi nke ndị ọbịa. Olee otú iji - ihe niile a na-ejedebeghị naanị site pụrụ ichetụ n'echiche nke a hacker. Ma ọ bụla ikpe, ndị na-esi na-agaghị nnọọ obi ụtọ. Karịsịa ma ọ bụrụ nwere ego ozi.

Ọzọkwa, ebibi nwere ike jikota database onwe gị wee nata ha ego maka ya lọta.

Ghaara ya ụgha ọrụ na nnọchite nke saịtị nchịkwa, ndị mmadụ ha na-anọghị na-, nwekwara ike ịbụ na-ezighị ezi pụta dị ka o kwere wayo eziokwu.

ọgwụgwụ

All ozi ke ibuotikọ na-nyere maka informational naanị ebumnuche. Jiri ya na mkpa iji nwalee ha onwe ha oru ngo mgbe ọ na-achọpụta rụọ vulnerabilities na adreesị ha.

N'ihi na a ọzọ na-omimi amụ usoro nke otú kụziere SQL-ogwu ogbugba, ọ dị mkpa na-amalite na n'ezie research ike na atụmatụ nke SQL asụsụ. Ka weere gbara ajụjụ, Keywords, data ụdị, na ojiji nke ya niile.

Ọzọkwa nwere ike ime na-enweghị nghọta ime ihe nke PHP na HTML ọcha ọrụ. The isi were ngwangwa isi n'ihi na ọgwụ - adreesị akara, dị iche iche search ubi. Ịmụta PHP ọrụ, na usoro nke na mmejuputa na atụmatụ ga chepụta otú zere emehie ihe.

Ọnụnọ nke ọtụtụ njikere mere software ngwaọrụ ekwe ka na-omimi analysis na saịtị mara ọma. Otu n'ime ndị kasị ewu ewu na ngwaahịa - kali Linux. Nke a image nke a Linux dabeere na sistemụ, nke nwere ọnụ ọgụgụ dị ukwuu nke ngwá ọrụ na ihe omume ndị na nwere ike mepụta mbara analysis of saịtị ike.

Gịnị dị mkpa ka ị mara otú mbanye saịtị? Ọ bụ nnọọ mfe - ọ dị mkpa na-maara nke nwere ọma nke gị oru ngo ma ọ bụ website. Karịsịa ma ọ bụrụ na ọ bụ a online store na online ugwo, ebe ugwo ọrụ data nwere ike mie ala site otu ebibi.

N'ihi ọkachamara na-amụ ẹdude ozi nchebe ga-enwe ike iji chọpụta na saịtị maka a dịgasị iche iche nke ibiere na omimi. Malite site a dị mfe HTML-injections na-elekọta mmadụ injinịa na phishing.