ВсёНовостиТемыКаналыВидео и РоликиСтатьи и Посты
Гаджеты и электроника
Лаборатория сисадмина
582 читали · 2 года назад
SQL injection - Authentication - GBK
Всем привет, сегодня был напряжённый день, так что самое время решить задачку на информационную безопасность web-серверов. Сегодня задачка с портала root-me.org, называется "SQL injection - Authentication - GBK". За решение задачки дают 30 баллов, ближе к среднему уровню. По названию становится понятно, что иметь дело придётся с SQL инъекцией. SQL injection — это атака на базу данных, которая позволит выполнить некоторое действие, которое не планировалось создателем скрипта. Атака осуществляется путём внедрения (инъекции) стороннего кода в SQL запрос...
Hypro-Y
247 читали · 7 лет назад
CTF ringzer0team - SQL Injection 8: Don't mess with Noemie; she hates admin!
Очередная форма авторизации к которой нам придется подобрать инъекцию, только по названию пока можно догадываться какие особенности она таит. Приступим! В самом начале формы нас предостерегают о том что в этот раз юзернейм не admin. Но с каким то логином все же надо пробовать авторизоваться и я выбрал Noemie, и наша стартовая инъекция: Noemie' -- Результат запроса: Затем я попробовал другой способ объявления комментария admin' # Да-да, я bad boy, и мне кажется что дело тут не в юзернейме и инъекцию...
WhiteSigma
2 года назад
SQL INjection
Sqli- sql injection Sqli - это техника, при которой злоумышленник использует недостатки в коде приложения, отвечающего за построение динамических SQL-запросов. Злоумышленник может получить доступ к привилегированным разделам приложения, получить всю информацию из базы данных, подменить существующие данные или даже выполнить опасные команды системного уровня на узле базы данных. Каковы последствия успешной SQL-иньекции? Успешная Sqli ведет за собой полный несанкционированный доступ к конфидециальным данным, такие как пароли, данные кредитных карт, или личная информация пользователей...
Hypro-Y
185 читали · 7 лет назад
CTF ringzer0team - SQL Injection 2: ACL rulezzz the world
В одной из статей я уже рассказывал о том что такое SQL injection, поэтому перейдем непосредственно к самому заданию. В этот раз нам предоставляется выпадающий список в котором указаны логины пользователей: Наверно более корректно было бы использовать burp suite для решения такого задания, но вполне можно обойтись и штатными средствами браузера. В моем случае это Opera, и для того чтобы открыть раздел разработчика нужно нажать Ctrl+Shift+C (в Chrome вроде Ctrl+Shift+I). Еще как вариант кликнуть правой кнопкой мыши на выпадающем списке этой формы и выбрать "Просмотреть код элемента"...