Продолжаем рассматривать SQL-инъекции, и нам можно вставлять код в следующее выражение: Давайте разберем ситуацию авторизации, в случае, когда мы не знаем пароль. Будем пытаться войти от имени администратора, с именем «admin»...

Здравствуйте, дорогие друзья. Продолжаем рассматривать SQL-инъекции, и в данном уроке мы будем пытаться извлечь пароли из базы данных. У нас есть таблица «accounts»: Нам нужно узнать имена столбцов, которые есть в этой таблице...

Всем привет, сегодня был напряжённый день, так что самое время решить задачку на информационную безопасность web-серверов. Сегодня задачка с портала root-me.org, называется "SQL injection - Authentication - GBK". За решение задачки дают 30 баллов, ближе к среднему уровню. По названию становится понятно, что иметь дело придётся с SQL инъекцией. SQL injection — это атака на базу данных, которая позволит выполнить некоторое действие, которое не планировалось создателем скрипта. Атака осуществляется путём внедрения (инъекции) стороннего кода в SQL запрос...

Для работы с БД в комплекте идет консольное приложение, но это скорее для админов. Для ежедневной работы лучше с графическим интерфейсом: * SQL Developer * PL/SQL Developer (нужен ключ, но когда это кого-то останавливало?) Качаем, распаковываем / устанавливаем, запускаем. В SQL Developer создать подключение к БД: Name - произвольное имя подключения (например, SYS) Username - SYS Password - пароль для системной/админской учетки Role - выбрать SYSDBA Включить пункт Service Name, ввести в поле служебное имя БД (было указано при установке). Можно сразу протестировать подключение кнопкой Test. Если норм - сохранить подключение...