ميپردازم و اميد وارم از آموزش هاي اين تاپيك استفاده درستی کنید . SQL INJECTION در اين تاپيك به آموزش مقدماتي تاپیشرفته
سعي ميكنم خيلي خيلي ساده توضيح بدم به شيوه اي كه همه ی دوستان خوب متوجه بشن حتي مبتدي ترين ها !
.براي شروع از ديتابيس شروع ميكنم بايد بگم تو اين تاپيك فعلا فقط به نحوه اي نفوذ ميپردازيم
واسه تشکر کردن از (+) استفاده کنیــد و رپ ندیـــن .. +
دوستان لدفن اسپم الکی نذارین اگه سوالی دارین اول مطالبو قشنگ بخونین بعد بپرسین +
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
sql injection یه توضیح در مورد
همونطور که میدونید در اغلب برنامه های تحت وب از بانک اطلاعاتی استفاده میشه که اطلاعاتی نظیر اسامی ، اطلاعات کاربردی یک سایت ، اطلاعات کاربران و مدیران و ... در آن قرار میگیره .
این برنامه ها اطلاعاتی که کاربران میخواهند وارد کنند را از طریق کد هایی که برنامه نویس نوشته دریافت میکنند و بر اساس آنها
.جدیدی تعریف میکنند Query
ها برقرار میشودQuery با کاربر از طریق همین databas و به دیتابیس یا همون بانک اطلاعاتی ارسال میکنند . و ارتباط
Query برای این ارتباط استفاده میکنند و جالبه که بدونید این فرایند که SQL اکثر این برنامه از زبان
ها بر اساس اطلاعاتی که کاربران برای آنها تایین میکنند و مستقیماً در فیلدهای ورودی صفته وب وارد میکنند می تواند راهی برای نفوذ یک هکر باشد .
به عبارت دیگر اگر برنامه ای که توسط برنامه نویس نوشته شده
SQL اطلاعات یک فیلد رو که با همان دستورات کاربر وارد شده رو جلوی یک دستور
اشنا استSQL بگذارد و آن را برای اجرا کردن به بانک اطلاعاتی بفرستد در اینصورت یک هکر که با زبان
پرکند SQL این فیلدها را طوری با دستورات
که ممکن است به یک فرمان مخرب تبدیل شده و پس از اجرا ، اهداف نفوذگر را برآورده نماید
و ما در این آموزشات میخواهیم همان دستورات و نحوه دستوپنجه نرم کردن با این برنامه های نوشته شده توسط برنامه نویسان رو مرور کنیم
باگ های (اس کیو ال ) از طريق برنامه نويسي غلت و اشتباه برنامه نويس سايت اون باگ بوجود مياد و هكر ها هم از اين فرصت ها استفاده ميكنن و از طريق اون خرابي كه ما بهش ميگيم باگ اطلاعات سايت رو بدست ميارن و در اخر نفوذ و
ميتونم بگم روي تعداد زیادی از سايت هاي كه وجود داره باگ SQL موجود است ! مثلا بيشتر سايت هاي دولتي ما یا کشور های دیگر
از این نوع باگ ها برخوردارن ! مثل : سايت هاي دانشگاها , سايت هاي بانك ها , سايت هاي دولتي , و ....
ما در اين تاپيك ميخوايم به آموزش حملات (مای اس کیو ال ) بپردازیم .. که برای شروع خیلی خوبه يعني با دستورات بهتر اشنا ميشين مقدماتي تر نسبت به بقيه ساده تر هستش .
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
خوب از مبتدي ترين قسمت شروع ميكنيم يعني پيدا كردن سايت اسيب پذير كه خيليا داخل اين كار مشكل دارن !
هکر ها برای راحتی کار خودشون از امکانات موتور های جستوجوگر به نفع خودشون استفاده میکنند، یکی از موتورهای جستوجوگر معروف به اسم گوگل مانند دیگر موتور های جستوجو امکاناتی را در اختیار کاربرانش قرار میدهد که در جستوجوی خود برای رسیدن به هدف خودشون راحت تر باشند و سریع تر عملیات مورد نظرشون انجام دهند .
یکی از این امکانات مثلا جستوجو فقط میان آدرس صفحات است که گوگل فقط سایت های که در آدرس خودشون اون متن مورد نظر شمارا دارد جستوجو میکند !
استفاده میشود inurl برای اینکار از دستور
راInurl زمانی که میخواهید متنی را در تکس باکس گوگل سرچ کنید قبل از متن مورد نظر
تایپ میکنیم و در ادامه مشخصات دیگر را وارد میکنیم برای مثال
- Code:
-
/news.php?id=
دارن براتون میــــــآد MySQL & SQL همينو برين تو گوگل سرچ كنين خيلي از سايت هاي كه باگ
مثلا من این سایت رو انتخاب کردم
- Code:
-
http://navr-bg.org/news.php?id=84
خوب به اين شكل ميتونيد سايت هاي داراي باگ رو پيدا كنيد بعد از پيدا كردن اين نوع سايت ها بايد تست كنيد ببينيد ايا سايت مورد نظر باگ مورد نظرتونو داره يا نه ؟
خوب حالا به چه صورت ؟
اخر تارگتمون يه : ( ' ) اضافه ميكنيم و اگه ارور مشاهده كرديم يا صفحه كامل لود نشود يعني باگ داره به اين صورت :
- Code:
-
http://navr-bg.org/news.php?id=84'
تا اينجا براي پيدا كردن سايت باگ دار و مشاهده كردن اين كه باگ داره سايتمون يا نه !
ایشالا بقیه امــوزش رو تو پست بعدی میذارم