Skocz do zawartości

  • 👋 Witaj na MPCForum!

    Przeglądasz forum jako gość, co oznacza, że wiele świetnych funkcji jest jeszcze przed Tobą! 😎

    • Pełny dostęp do działów i ukrytych treści
    • Możliwość pisania i odpowiadania w tematach
    • System prywatnych wiadomości
    • Zbieranie reputacji i rozwijanie swojego profilu
    • Członkostwo w jednej z największych społeczności graczy

    👉 Dołączenie zajmie Ci mniej niż minutę – a zyskasz znacznie więcej!

    Zarejestruj się teraz

Rekomendowane odpowiedzi

bnmbb Specjalista

bnmbb

Opublikowano
Specjalista

bnmbb

Opublikowano (edytowane)

Witam. W tym temacie chciałem poruszyć dosyć ważną rzecz - SQL Inject. Dla mniej wtajemniczonych wyjaśnię :

SQL Inject polega na "dołożeniu" niechcianych zapytań przez klienta (taka najkrótsza i dobra definicja :D).

Chodzi o to ,że chcemy np. Wyczyścić przy okazji tabelę Users podczas szukania użytkownika (np. opcja w grze ,która ma na celu wyświetlenie jakiegoś użytkownika)

 

Zapytanie normalnie ma postać :

To jest ukryta treść, proszę

 

Jest to jednak lepsze zapytanie od :

To jest ukryta treść, proszę

 

Dlaczego ? Już wyjaśniam.

 

Gdy wybierzemy sposób nr1 by wyświetlić login użytkownika w pliku wpiszemy :

To jest ukryta treść, proszę

 

A gdy wybierzemy sposób nr2 wpiszemy :

To jest ukryta treść, proszę

 

Czy dostrzegacie zagrożenie ? Jeśli nie to spójrzcie w takim razie na to zapytanie :

 

To jest ukryta treść, proszę

 

Czyli w pole użytkownika wpiszemy :

 

To jest ukryta treść, proszę

Używając sposobu nr1 wyświetli nam również tabelę information_schema ,która zawiera wszystkie informacje o "koncie" (nie bazie !) SQL. Czyli hacker będzie mógł otrzymać dostęp do SQL !

Nawet niechcąc się logować do bazy SQL (by uniknąć ew. wpisania IP do logu) mógłby dopisać takie coś :

 

To jest ukryta treść, proszę

 

Jest to tzw. podwójne zapytanie. Wykona nam oba "na raz".

Co jeszcze może wykonać ? Jeśli się niezabezpieczycie to wszystko co ty po zalogowaniu się do SQL w tym nawet usunięcie bazy danych lub co gorsza Wyczyszczenie/usunięcie information_schema.

 

 

Jest to przykładowy "trik". Ale fajniej się bawi gdy gramy jako ADMIN .

 

Załóżmy ,że mamy taki skrypt logowania :

 

To jest ukryta treść, proszę

 

 

To w pole loginu wpiszemy

To jest ukryta treść, proszę

 

A hasła :

To jest ukryta treść, proszę

 

 

Klikamy wyślij i co ?

 

Jesteśmy zalogowani.

 

Są to 2 najczęstsze metody ataku typu SQL Inject. O tym jak się przed tym obronić za chwilę.

 

 

UWAGA ! Ten temat niejest po to by nauczyć was injecta. Ja tu przedstawiam najczęstsze błędy przy tworzeniu gier.

Edytowane przez bnmbb
KDKJ Arcymistrz

KDKJ

Opublikowano
Arcymistrz

KDKJ

Opublikowano

Gdzieś widziałem tego tut'a... Dodaj źródło. Jak bd. się lepiej czuł to zobaczę czy dodałeś a jak nie to zamykam (jeżeli znajdę)

a7a3b8122182356e.png.8036b3d7be84292c9ea465f2360fa784.png

RastaJoint Pasjonat

RastaJoint

Opublikowano
Pasjonat

RastaJoint

Opublikowano

Nie jest to SQL inject tylko SQL injection, ogólnie nic ciekawego nie napisałeś.

Nie używaj słowa "hacker" od takich włamań jakie ty reprezentujesz są ScriptKiddie.

1

Wykonuję wszelkiego rodzaju modyfikacje/instalacja dla CMS: PHP-Fusion, Drupal, WordPress, MyBB, phpBB, IP.Board.

 

Poszukuję grafika komputerowego z bardzo dobrą znajomością oprogramowania Adobe Photoshop do stałej współpracy. Na dzień dzisiejszy potrzeba wykonać około 20 szablonów WWW.

Oferty i pytania proszę kierować na PW lub e-mail RastaJoint(at)spoko.pl.

Nie pomagam na prywatnie odnoście gry

Metin2 czy Tworzenia stron www, masz problem? Pisz na forum a postaram się go rozwiązać

Gość

Gość

Opublikowano

Gość

Opublikowano

powiem tak SQL injection to dobry sposób na kilka prostych włamań jeśli nie robisz błędów w tworzeniu strony to nie masz się czego obawiać

 Udostępnij
Tematy
×
×
  • Dodaj nową pozycję...