Le ente ea SQL ke eng?

palo ea libaka le maqephe ho web o hōla butle-butle. Nkiloeng bakeng sa ntshetsopele ya ba ka bohle. Le novice ke jwa Web hangata e sebelisa khoutu sa bolokehang le khale. Le e baka e ngata loopholes bakeng sa batlōli ba molao le hackers. Ho feta kamoo ba leng kateng. E mong oa vulnerabilities fetisisa khale - SQL-ente.

A batla a ea khopolo

Batho ba bangata ba tseba hore boholo ba libaka le ditshebeletso ka marangrang a sebelisa polokelo SQL polokelongtshedimosetso. Ena ke hlophisitsoeng puo potso eo lumella u ho laola le ho tsamaisa polokelo ya data. Ho na le liphetolelo tse ngata tse sa tšoaneng tsa taolo ya polokelongtshedimosetso oona tsamaisong polokelongtshedimosetso - Oracle, MySQL, Postgre. Ho sa tsotellehe hore lebitso le mofuta, ba sebelisa ya data e tšoanang potso. Ho mona hore larileng ka ka hlaseloa habonolo hlahelang. Ha developer indonesia ho hlōleha ho sebetsana hantle le sireletsehile kopa, e hlasetseng ka nka sebelisa monyetla oa ho ena le ho sebelisa maqheka a khethehileng hore ba fumane mokhoa oa ho polokelongtshedimosetso ho, 'me joale - le le taolo saeteng tsohle.

Ho qoba maemo a joalo, u lokela ho hantle optimize le khoutu le ho hlokomela haufi-ufi ka tsela e ka eo kopo e e ntse sebetswa.

Hlahloba tsa SQL-ente

Ho theha ho ba teng ha ka kotsing ka ya netweke le e na le boima ba qetile tsamaiso ea km gana Software. Empa ho ka etsahala hore ba phethe cheke e bonolo ka letsoho. Ho etsa sena, u ee e mong oa libaka teko le ka bareng aterese ho leka ho etsa hore phoso polokelongtshedimosetso. Ka mohlala, rx setšeng ke ke sebetsana le kōpo eo 'me u se ke ua Trim bona.

Mohlala, ho na le nekiy_sayt / index.php? ID = 25

The tsela ee motlhofo ya - ho beha 25 mora qotsa le romela kopo ya. Haeba ha ho na phoso e etsahetse, ebang ke setšeng le filthara likopo tsohle tse a ileng a sebetsana ka nepo, kapa e nang le bokooa ka hara di-setting tsa khumo bona. Ha leqepheng le e reloaded le mathata a, joale e ntan'o ba kotsing ho SQL-ente e.

Ka mor'a hore a ile a hlokomela, o ka leka ho tlosa eona.

Ho kenya tshebetsong ena kotsing ho hlokahala hore a tsebe ho se hokae ka lihlopha SQL-dipotso. E mong oa bona - UNION. Ke ee ke sekise hammoho diphetho maloa potso ka 'ngoe. Kahoo, re ka lekanya palo ea masimo a ka tafoleng. MOHLALA potso ea pele ke ho re:

• nekiy_sayt / index.php? ID = 25 UNION khetha 1.

Maemong a mangata, tlaleho ena e lokela ho hlahisa phoso. Sena se bolela hore palo ea masimo a ke ha a lekane le 1. Ka hona, khetha dikgetho tsa 1 kapa moholo, ho ka etsahala ya ho theha palo ea bona hantle:

• nekiy_sayt / index.php? ID = 25 UNION khetha 1,2,3,4,5,6.

Ke hore, ha phoso sa tla hlola hlaha, ho bolela hore palo ea masimo a ho nahana.

Ho boetse ho na le tharollo e meng ho bothata bona. Ka mohlala, ha palo e khōlō ea masimo a - 30, 60 kapa 100. Sena GROUP taelo ea BY. lihlopha ho ya ka dipholo tsa e potso ka mabaka leha e le efe, ho etsa mohlala ID:

• nekiy_sayt / index.php? ID = 25 GROUP BY 5.

Haeba phoso ha e so fumane, joale masimo a fetang 5. Ka tsela eo, a emeng dikgetho ho tloha e mengata e fapaneng ka toka sephara, hoa khoneha hore motho a bale kamoo ba bangata ba bona ha e le hantle.

Sena mohlala SQL-ente - bakeng sa ba qalang ba batla ho leka ho bona ka bobona ka liteko tsa setšeng sa eona. Ke habohlokoa ho hopola hore bakeng sa ho fihlella tshebediso e sa dumellwang sehlooho mong fumaneha tsa Code Criminal.

The mefuta e ka sehloohong ea ente

Kenya kotsing ke SQL-ente ka embodiments 'maloa. Hlahlamang ke mekhoa e ratoang ka ho fetisisa:

• The UNION potso ee e SQL ente. A mohlala e bonolo ea mofuta ona e se e hlahloba ka holimo. E o ile a hlokomela e loketseng ho le phoso ho hlahloba ya data o tlang, e leng ha ba e tlhotliloeng.

• Phoso e thehiloeng SQL ente. Ka lebitso la fana ka maikutlo a, mofuta ona o boetse o sebelisa phoso, a romela lipoleloana qapa syntactically fosahetseng. Joale ho na le interception tsa headers a arabela, ho sekaseka tse ka ho phethahatsoa hamorao SQL-ente.

• Phaelletswe dipotso ho SQL ente. kotsing ena e ikemiselitse ka ho etsa likopo latellanang. E tšoauoa ka go tlaleletsa ka qetellong ea pontšo ea ";". Mokhoa ona e atisa ho sebediswa ho fumana ho kenngwa tshebetsong ha bala le ho ngola ya data kapa tshebetso ya ho sebetsa mesebetsi, ha litokelo lumella eona.

Software bakeng sa ho batla SQL-vulnerabilities

Na ho na le bakeng sa SQL-ente, lenaneo lena le hangata ba le dikarolo tse peli - sebaka Scan bakeng vulnerabilities khoneha le sebelisa hore ba be phihlelo ya data. Ho na le ba bang ba lisebelisoa tsa platforms hoo e ka bang tsohle le tsejoe. tshebetso bona ntsetso-peleng haholo hlahloba websaeteng ho khoa hao SQL-ente.

Sqlmap

e matla haholo-itlho hore o sebetsa le databases fetisisa. Ho tšehetsa mekhoa e sa tšoaneng ea ho kenya tshebetsong SQL-ente. E na le matla a ho ka tsela e iketsang hlokomela mofuta oa phasewete hashe petsoha le szótár. Hona joale le tshebetso jarisa faele le jarollwa ho tswa ho server ya.

Tlhomamiso ka Linux o etsoa ho sebelisoa litaelo:

• git clone https://github.com/sqlmapproject/sqlmap.git sqlmap-Dev,
• cdsqlmap-Dev /,
• ./sqlmap.py --wizard.

Bakeng sa Windows e fumaneha e le khetho le mola taelo ea le segokanyimmediamentsi sa sebolokigolo dikerafike mosebedisi.

jSQL ente

jSQL ente - sefapano-sethaleng sesebelisoa tsa leka ho sebelisa vulnerabilities SQL. Ngotsweng ka Java, kahoo tsamaiso ea lokela ho hlomamisa JRE. Kgona ho sebetsana le FUMANA likopo, Post, platform, di-cookie. E na e loketseng dikerafike segokanyimmediamentsi sa sebolokigolo.

Ho hlongoa sephutheloana sena Software e tjena:

wget https://github.com/`curl -s https: //github.com/ron190/jsql-injection/releases | grep-E -o '/ron190/jsql-injection/releases/download/v[0-9]{1,2}.[0-9]{1,2}/jsql-injection-v[0-9] . {1,2} [0-9] {1,2} .jar '| hlooho-n-1`

Tsoibiloang ke ka ho sebelisa taelo, java -jar ./jsql-injection-v*.jar

E le hore ba qale ho ea teko saeteng ka SQL-kotsing, o lokela ho kena aterese tšimong holimo. Ba arohaneng bakeng sa ho fumana le poso. Ka lebaka ntle, lenane la litafole fumaneha tla hlaha ka fensetere setseng. U ka nka hore le ithuta boitsebiso bo itseng e le lekunutu.

tab ya «admin leqepheng la» sebediswa ho fumana diphanele tsamaiso. Ho eona ke mokhoa oa ho le dithempleite khethehileng ka tsela e iketsang phenyang tsamaiso ea tlaleha basebelisi le tokelo. Ho bona o ka fumana feela hashe tsa phasewete ya. Empa o na le ho Lebokose la lisebelisoa ea lenaneo.

Ka mor'a ho fumana le vulnerabilities le ente dipatlisiso tsohle tse hlokahalang, ke sesebelisoa sa le tla ho dumella ho server ho tlatsa faele ya hao kapa, lehlakoreng le leng, kopitsa ho tloha moo.

SQLi Dumper v.7

Lenaneo lena - le bonolo ho sebelisa sesebelisoa sa ho fumana le ho sebedisa SQL vulnerabilities. Ho hlahisa UN e thehiloe ho thoeng Dorkase. lethathamo bona li ka fumanoa Inthaneteng. Bontebok bakeng SQL-ente - tsena ke le dithempleite khethehileng tsa dipotso ho setjha. Ka thuso ea bona, o ka fumana saeteng 'nang ba tlokotsing ka enjene efe kapa efe ho setjha.

Tools bakeng sa koetliso

Itsecgames.com sebakeng ho na le ke e khethehileng sete ya lisebelisoa e lumellang mohlala e bontša kamoo ho etsa SQL ente le leke eona. E le hore re rue molemo, ho ke ke ho hlokahala hore ho thowuni le kenya. The diario na le sete ya difaele, eo ke sebōpeho sa sebaka seo. Ho kenya e tla hloka tsamaisong o teng ba sete ya Apache ho web seva, MySQL le PHP.

Unpack le diario ka foldareng ka ho web server eo, u na le ho ea atereseng e kena ha kenya sena Software. leqepheng la A le ngodiso mosebedisi. Mona o lokela ho kena boitsebiso ba hao le ho tobetsa «Create». Hatela mosebedisi le ya skrine e ncha, tsamaiso ea eu susumetsang hore u khetha e mong oa Maemong a teko. Har'a bona ho na le bobeli hlalositsoeng ke ente, 'me ba bangata lintho tse ling tse teko.

Ke habohlokoa ho ho nahana ka mohlala oa SQL-ente mofuta fumana / Search. Mona o lokela ho khetha e le tobetsa «Hack». Pele mosebedisi ho tla hlaha, 'me ho batla khoele etsisa filimi saeteng. Ho utloisisa lifilimi ka ba nako e telele. Empa ho na le 10. feela Ka mohlala, u ka leka ho kena la Tšepe Man. E tla bontša filimi, joale site sebetsa, le litafole ho na le. Joale re lokela ho hlahloba hore na filter litlhaku khethehileng ngotsoeng, ka qotsa ho khetheha. Ho etsa sena, eketsa 'ka bareng aterese. " Ho feta moo, ena ho lokela ho etswa ka mor'a sehlooho sa filimi e. site tla fana ka Phoso e phoso: O na le phoso ka ho SQL hokahanngoang hao; hlahloba bukana e tšoana le ea hao MySQL tlhahiso seva ya hokahanngoang tokelo ya ho sebedisa haufi '%' 'ka mola 1, e bolelang hore batho ba ka ba ntse ba sa sebetsoa ka nepo. Kahoo u ka leka ho ka nkang sebaka seo u se batlileng. Empa re lokela ho qala ka a bale palo ea masimo a. E sebediswa bakeng sa odara sena ka, eo e hlahiswa mor'a ho qotsa: http://testsites.com/sqli_1.php?title=Iron+Man 'tle ke 2 - & bohato = search.

Taelo ena e bontša feela boitsebiso bo mabapi le filimi, e le hore e, palo ea masimo a o moholo ho 2. tlami habeli bolella seva e li kōpang e meng lokela ho lahloa. Joale re lokela ho utloisisa seo a se beha eketseha bohlokwa hafeela phoso e sa hatisoa. Ka hore qetellong, e fellang kateng le hore masimo a tla ba 7.

Hona joale ke nako ea ho fumana ntho e 'ngoe e molemo ka botlaaseng. Tla hanyenyane fetoloa kōpo eo ka bareng aterese, tlisa ho foromo ya: http://testsites.com/sqli_1.php?title=Iron+Man 'bonngoeng khetha 1, polokelongtshedimosetso (), mosebedisi (), 4, phasewete, 6, 7 ho tswa ho basebedisi ba - & bohato = search. Ka lebaka la ho kenngwa tshebetsong eona e ne e bontša ka khoele le hashes phasewete, e leng e ka habonolo fetoloa matshwaonyana utloahala ho sebelisa e 'ngoe ea litšebeletso tsa ho sebelisa Inthanete. A conjured hanyane le lata lebitso tšimo le ho kena, u ka fumana mokhoa oa ho kena motho e mong, tse kang admin Websaete eo joang.

sehlahiswa e na le boima mefuta ente mefuta, leo ho tloaela ho etsa. E lokela ho a hopola hore ho sebelisa litsebo tsa bona tsena tsa marangrang a ka libaka ea sebele e ka ba le molato tlōlo ea molao.

Ente le PHP

E le busa, ho PHP-khoutu le ke le boikarabelo ba ho li kōpang hlokahalang ho e lokisa e tsoang mosebedisi ya. Ka hona, le boemong ena o lokela ho haha ikarabella khahlanong SQL-ente ka PHP.

Pele, a re ke re fana ka melao e tataisang tse seng kae tse sa rarahanang, ka motheo oa ea eo e ke ho hlokahala hore ho etsa joalo.

• Data lokela kamehla ho sebetswa pele ba behoa ka polokelongtshedimosetso ena. Sena se ka etsoa ka ho sebelisa lipoleloana tse teng, kapa ke ho hlophisa lipotso ka letsoho. Mona, hape, lokela ho nahana ka hore melemo dipalo tsena di fihlelle tshokolloho ho mofuta eo e hlokahala;
• Qojoa susumelletsa dibopeho tse sa tšoaneng ho laola maikutlo.

Hona joale ho se hokae ka melawana ya go kokoanya dintlhakhutlogo lipotso ka MySQL ho sireletsa khahlanong le SQL-ente.

Ka ho atamela ho fihlela lipolelo tse leha e le efe ho potso ke habohlokoa ho arohana ya data ho tswa ho SQL mantswe.

• Khetha * TSOANG tafole HOKAE lebitso = Zerg.

Ka phetolo ena, tsamaiso ea 'na ba nahana hore Zerg - lebitso la tšimo efe kapa efe, kahoo o lokela ho kenyeletsa yona ho ya ka qotsa.

• Khetha * TSOANG tafole HOKAE lebitso = 'Zerg'.

Leha ho le joalo, ho na le linako tseo ka boleng ka boeona e na le qotsa.

• Khetha * TSOANG tafole HOKAE lebitso = 'Côte d'Ivoire.

Mona feela sebetsana karolo ea Côte le d, 'me ba bang kaofela ba ka lemohuoa e le sehlopha, e leng, ka ho hlakileng, ha ho joalo. Ka hona, le phoso e le hlaha. Ka nako eo o lokela mofuta ona ya data screening. Ho etsa sena, sebelisa backslash - \.

• Khetha * TSOANG tafole HOKAE lebitso = 'katse-le d \' Ivoire '.

All ho tse ka holimo e bua ka mela ka. Ha ketso etsahala ka palo, joale ha ho hloka leha e le efe ka ho qotsa kapa slashes. Leha ho le joalo, ba lokela ho e hlokehang ho ka likhoka lebisa ho mofuta lakatsa ya data.

Ho na le likhothaletso hore lebitso tšimo tlameha ho kenyeleditsweng ka backquotes. letshwao Sena ke ka lehlakoreng le letšehali la keyboard, hammoho le thilete "~". Sena ke ho etsa bonnete ba hore MySQL ka nepo khetholla lebitso la naha ho tloha keyword hao.

Matla mosebetsing le ya data

hangata haholo, ho fumana ya data efe kapa efe ho tswa ho polokelongtshedimosetso ho sebelisa lipotso, generated dynamically. Mohlala:

• Khetha * TSOANG tafole HOKAE palo = '$ palo'.

Mona, le polygonal $ palo e fetisitswe ka beha boleng ba tšimong. Ho tla etsahala'ng haeba eo fumana 'Côte d'Ivoire'? Phoso.

Ho qoba khathatso ena, ea e le hantle, u ka kenyelletsa "boselamose qotsa" Litlhophiso. Empa hona joale ya data tla screened moo ho hlokehang le e sa hlokahala. Ho phaella moo, haeba khoutu e ngotsoeng ka letsoho, u ka qeta hanyane nako e eketsehileng ea ho etsa manganga ho ho petsoha tsamaiso ka boeona.

Bakeng sa phaella moo ikemetseng tsa labo ko labo le ka sebelisa mysql_real_escape_string.

$ Number = mysql_real_escape_string ($ palo);

$ Selemo = mysql_real_escape_string ($ selemo);

$ Potso = "Insert KA tafole (palo, selemo, sehlopha sa) Melao ea Boitšoaro ( '$ palo', '$ selemo', 11)".

Leha ho khoutu le eketseha ka bophahamo ba modumo, leha ho le joalo nang le monyetla e ne e tla sebetsa se sireletsehileng haholo.

placeholders

Placeholders - e mosa ea batshwai eo tsamaiso ea hlokomela hore sena ke sebaka u lokela ho ka nkang sebaka sa mosebetsi o khethehileng. Mohlala:

$ Sate = $ mysqli-> lokisetsa ( "Khetha District TSOANG Number HOKAE Lebitso =?");

$ Sate-> bind_param ( " 's", $ palo);

$ Sate-> phethisa ();

Karolo ena ea khoutu nka fuoa koetliso kopo thempleite ebe tlama palo polygonal, 'me a phethisa eona. Mokhoa ona o lumella u ho arola sebetsa potso le tshebediso lona. Kahoo, ho ka pholosoa ho tswa ho tshebediso ya khoutu kotsi ke SQL-.

Seo a ka 'na e hlasetseng

Tshireletso ya System - e ntho ea bohlokoa haholo, e leng se ke ke sa tsotelloe. Ke 'nete hore e bonolo karete ea khoebo saeteng tla ba ho le bonolo ho tsosolosa. 'Me haeba ho ke ke e kholo-portal, tšebeletso, re forum? ke eng hore haeba u sa nahane ka tshireletso?

Ntlha ea pele, e le Hacker ka senya botšepehi ba bobeli botlaaseng le ho tlosa e ka ho feletseng. 'Me haeba site motsamaisi kapa hoster ha etsa bekapo, o tla ba le linako tse thata. Ka holim'a tsohle, e intruder, ho petsoha setša se se nang balekane, ba ka ho ea ba bang a beha ka seva e tšoanang.

Hlahlamang ke bosholu ba tlhahisoleseding e kgethehileng ya baeti. Mokhoa oa ho sebelisa - tsohle e felle feela ka ho le monahanong oa Hacker ka. Empa haeba leha e le efe, liphello tsa seo e tla se ke ua e monate haholo. Haholo-holo haeba e ne e ena lesedi lichelete.

Hape, hlasetseng ka kopane polokelongtshedimosetso u ithata ebe extort chelete ho khutla ha lona.

Liketselletso basebelisi lebitsong la molaoli oa site, motho ha ba ho ba, ka boela ba le liphello tse mpe ha ho khoneha bolotsana 'nete.

bofello

boitsebiso bohle ka sehlooho sena se fane ka bakeng sa merero informational feela. Sebelisa feela lokela ho hlahloba diporojeke tse di bona ha e e iphumanela ho vulnerabilities le ba ba bitsa.

Bakeng sa ho feta ka ithuta ka botebo ea mekhoa ea kamoo ho ka tsamaisa SQL-ente, ho ke ho hlokahala hore ho qala ho le bokgoni sebele lipatlisiso 'me lintlha tsa puo SQL. E le lipotso hlophiswa, mantswe, mefuta ya data, le tšebeliso ea eona kaofela.

Hape a ke ke a etsa ntle le ho utloisisa tšebetso ea ho PHP le likarolo HTML mesebetsi. Tshebediso mathomo lintlha hlaselehang habonolo bakeng sa ente - e moleng aterese, 'me tšimo e sa tšoaneng ho setjha. Ithuta mesebetsi PHP, mokhoa oa ho kenya tshebetsong le litšobotsi tla leka ho qoba liphoso.

Ho ba teng ha itokiselitse entsoeng lisebelisoa tse ngata Software lumella bakeng sa ka botebo and analysis setšeng tsebile vulnerabilities. E 'ngoe ea lihlahisoa ho fetisisa ratoa - kali ka file linux. setšoantšo sena sa tsamaiso Linux thehiloeng ho sebelisa mehaho, e leng e na le palo e khōlō ea lisebelisoa le mananeo a ka phetha and analysis akaretsang ea matla a setseng.

Ke hobane'ng ha ke lokela ho tseba ho senya setša? Ho bonolo haholo - sena ke se hlokahalang e le ho ba le maikutlo a libaka tse ka 'nang tsa senyeha tsa morero kapa sebaka sa hau. Haholo-holo haeba ena ke lebenkele la Inthanete le nang le bokhoni ba ho lefa Inthaneteng, moo lits'enyehelo tsa tefo ea mofani li ka sekisetsoang ke mohlaseli.

Bakeng sa lipatlisiso tsa litsebi, ho na le litšebeletso tsa ts'ireletso tsa tlhahisoleseding li tla khona ho hlahloba sebaka seo ho latela mekhoa e fapaneng le litebo. Ho tswa ho ente ea HTML e tloaelehileng ho boenjiniere ba sechaba le phishing.