HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG KHOA CƠNG NGHỆ THƠNG TIN Học phần: An Tồn Mạng Bài báo cáo: Tìm hiểu cơng cụ SQLMap demo số lab Giảng viên hướng dẫn: Sinh viên thực hiện: Mã sinh viên: Lớp: Nhóm mơn học: Tổ TH: TS Đặng Minh Tuấn Trần Quốc Hoàn B18DCAT094 D18CQAT02-B 01 01 Hà Nội 2021 MỤC LỤC DANH MỤC HÌNH ẢNH DANH SÁCH CÁC THUẬT NGỮ TIẾNG ANH VÀ VIẾT TẮT LỜI MỞ ĐẦU Chương : Lịch sử phát triển 1.1 Giới thiệu lỗ hổng web SQL injection 1.1.1 Sự phát triển lợi ích web 1.1.2 Giới thiệu lỗ hổng web .6 1.1.3 SQL injection 1.2 Lịch sử phát triển SQL Map Chương : Tìm hiểu cơng cụ SQLMap cài đặt 12 2.1 Tìm hiểu tool SQLMap 12 2.1.1 SqlMap gì? 12 2.1.2 Một số tính 13 2.2 Hướng dẫn cài đặt tool SqlMap Window 14 2.3 Hướng dẫn sử dụng SqlMap Kali Linux 17 Chương : Tìm hiểu tập lệnh SqlMap 19 3.1 Các kĩ thuật 19 3.2 Thư viện bên thứ ba 20 3.3 Các options SQLMAP 22 3.3.1 python sqlmap [options] 22 3.3.2 Injection 24 3.3.3 Detection 25 3.3.4 Techniques 25 3.3.5 Enummeration 25 3.3.6 Brute force 26 3.3.7 Chèn chức người dùng xác định: 27 3.3.8 Quyền truy cập hệ thống tệp: 27 3.3.9 Quyền truy cập hệ điều hành: 27 3.3.10 Độ dài Output 27 3.3.11 Target 28 3.3.12 Target URL 28 3.3.13 Các lệnh nâng cao 28 Chương : Hướng dẫn sử dụng SQLmap để công SQL 29 4.1 Tạo lab với DVWA 29 4.2 Hướng dẫn sử dụng SqlMap để công DVWA (Tham khảo từ tài liệu) 29 4.3 Sử dụng SQLMap với BurpSuite + CO2 40 4.4 Quét lấy bảng, user, CSDL từ website chứa lỗi SQLi (Demo Tham Khảo) 47 Chương : Đánh giá Kết Luận 50 TÀI LIỆU THAM KHẢO 51 DANH MỤC HÌNH ẢNH Hình Top 10 lỗ hổng bảo mật OWASP Hình Giao diện SQLmap Kali Linux 12 Hình Mở file python vừa tải 15 Hình Chọn đường dẫn lưu 15 Hình Hồn thành cài đặt 16 Hình Mở file SQLMap để cài đặt 16 Hình Chạy lệnh Cmd xem cài đặt thành công 17 Hình Cài đặt cập nhật SQLmap Kali 18 DANH SÁCH CÁC THUẬT NGỮ TIẾNG ANH VÀ VIẾT TẮT Từ viết tắt WWW URL Thuật ngữ tiếng Anh/Giải thích Thuật ngữ tiếng Việt/Giải thích Wordl Wide Web Uniform Resource Locator Nơi lưu trữ liệu Internet Địa tài nguyên Là giao thức truyền tải siêu văn sử dụng www dùng để truyền tải liệu Web server đến trình duyệt Web Là ngơn ngữ lập trình dùng để xây dựng cấu trúc lại thành phần có Website Là ứng dụng web PHP/MySQL HTTP HyperText Transfer Protocol HTML Hypertext Markup Language DVWA Damn Vulnerable Web App LỜI MỞ ĐẦU Cùng kỳ Quý I/2020, công mạng gây cố vào hệ thống thông tin Việt Nam có giảm 20%, song tính từ đầu năm 2021 đến nay, số cố công mạng xu hướng tăng nhẹ Tính chung tháng đầu năm nay, Cục An tồn thơng tin, Bộ TT&TT ghi nhận 1.271 công mạng gây cố vào hệ thống thông tin, giảm 20% so với kỳ Quý I/2020 Trong tổng số 1.271 công mạng, số cố công Malware ghi nhận 623 cố Số cố công Phishing công Deface 449 199 cố (Hình 1) Riêng tháng 3/2021, Cục An tồn thơng tin ghi nhận 491 cố công mạng vào hệ thống thông tin, tăng 8,15% so với tháng 2/2021 Trong đó, số cố cơng Malware 180, cịn cơng Phishing Deface 164 147 Thống kê Cục An tồn thơng tin cho thấy, sau tháng liên tục giảm, tháng 3/2021, số lượng địa IP Việt Nam nằm mạng botnet (mạng máy tính ma) tăng lên số 1.021.545 địa chỉ, tăng 11,34% so với tháng 02/2021 Tuy nhiên, tính chung Quý I/2021, số lượng địa IP Việt Nam nằm mạng botnet giảm 37,44% so với Quý I/2020 giảm 14,39% so với Quý IV/2020 Trong tháng đầu năm, hàng loạt vụ công mạng quy mơ lớn diễn tồn cầu, điển vụ việc tin tặc Triều Tiên cố gắng đột nhập vào hệ thống máy tính cơng ty dược phẩm Pfizer để lấy thông tin vắc-xin phương pháp điều trị COVID-19; hay việc tin tặc Trung Quốc nhắm mục tiêu vào phần mềm email doanh nghiệp Microsoft để đánh cắp liệu từ 30.000 tổ chức khắp giới;… Mới vào ngày 4/4/2021, Forbes cho biết số điện thoại liệu cá nhân 533 triệu người dùng Facebook bị rò rỉ Chương : Lịch sử phát triển 1.1 Giới thiệu lỗ hổng web SQL injection 1.1.1 Sự phát triển lợi ích web Trong ngày đầu phát triển Internet, Wordl Wide Web bao gổm website Nó đơn giản nguồn lưu trữ liệu tĩnh (chủ yếu văn dạng text) Và nhiệm vụ trình duyệt web đơn giản việc yêu cầu hiển thị liệu tĩnh Ngày nay, World Wide Web không đơn lưu trữ liệu tĩnh nữa, thay vào nhiều chức đa dạng (ví dụ: tìm kiếm, giao dịch tài chính, đăng ký đăng nhập ) Có thể nói, với giới World Wide Web làm thứ phục vụ cho sống người Chính nhờ lợi ích tuyệt vời này, mà ngày có nhiều doanh nghiệp ưu tiên việc áp dụng ứng dụng web vào việc quản lý, tổ chức phát triển doanh nghiệp Song, bên cạnh lơi ích này, triển khai việc áp dụng công nghệ web vào doanh nghiệp đặt vấn đề lớn cho doanh nghiệp vấn đề bảo mật 1.1.2 Giới thiệu lỗ hổng web Trong thực tế, có nhiều ứng dụng web khơng an toàn phải đối mặt với việc bị khai thác Dưới số thống kê số lượng lỗ hổng ứng dụng web tìm giai đoạn 1996-2013, thống kê IBM Hình Top 10 lỗ hổng bảo mật OWASP Lỗ hổng ứng dụng web chia thành hai phần chính: • Lỗ hổng server: kể tới lỗ hổng liên quan tới việc xác thực người dùng, lỗ hổng liên quan tới việc quản lý phiên (sesion), lỗ hổng liên quan tới sở liệu • Lỗ hổng client: kể tới Cross-site Scripting, On-site Request Forgery 1.1.3 SQL injection Một thực tế rằng, gần tất ứng dụng dựa việc lưu trữ liệu để quản lý liệu mà xử lý ứng dụng Trong nhiều trường hợp, liệu logic hạt nhân ứng dụng mà bao gồm tài khoản người dùng, thiết lập quyền, thiết lập cấu hình ứng dụng Lưu trữ liệu trở nên linh hoạt việc tổ chức liệu định dạng cấu trúc, truy cập cách sử dụng định dạng truy vấn xác định trước cho loại sở liệu, việc quản lý liệu Thông thường, ứng dụng sử dụng cấp độ đặc quyền chung cho tất loại việc try cập tới lưu trữ liệu việc xử lý liệu ứng dụng người dùng khác Nếu kẻ cơng tác động tới tương tác ứng dụng với lưu trữ liệu, để ăn cắp sửa đổi liệu khác nhau, kẻ công thường vượt qua tất chế kiểm soát việc truy cập liệu mà áp dụng tầng ứng dụng Hầu hết ứng dụng web dùng sở liệu để lưu trữ thông tin khác mà cần để hoạt động Ví dụ, ứng dụng web triển khai nhà bán lẻ trực tuyến sử dụng sở liệu để lưu trữ thông tin như: tài khoản người dùng, danh tính, thơng tin nhân; mơ tả giá mặt hàng, thông tin oders, thông tin tốn Việc truy cập thơng tin bên sở liệu gọi Structured Query Language (SQL) SQL sử dụng để đọc, cập nhật, thêm, xóa thơng tin tổ chức bên sở liệu SQL ngôn ngữ biên dịch ứng dụng web thường xây dựng câu lệnh SQL mà kết hợp với liệu người dùng cung cấp Nếu điều thực cách khơng an tồn, ứng dụng bị SQL injection Lỗi lỗi ứng dụng web tiếng ảnh hưởng tới ứng dụng web Trong trường hợp nghiêm trọng, SQL injection cho phép kẻ cơng đọc thay đổi tất liệu lưu trữ bên cở liệu, thâm chí kiểm soát máy chủ mà sở liệu chạy Hãy thử tưởng tượng, websites bán hàng trực tuyến, mà kẻ cơng thay đổi giá sản phẩm, xóa số mặt hàng website điều xảy ra? Nguyên nhân đâu mà sinh SQL Injection: Các nhà phát triển ứng dụng không thực việc kiểm tra đầu vào người dùng đệ trình liệu => Dữ liệu đầu vào người dùng câu lệnh truy vấn SQL =>Dẫn tới việc liệu tương tác với sở liệu hiển thị thông tin quan trọng 1.2 Lịch sử phát triển SQL Map 1.2.1 2011 Ngày 10 tháng 4, Bernardo Miroslav phát hành sqlmap 0.9 có cơng cụ phát SQL injection hồn tồn viết lại mạnh mẽ, khả kết nối trực tiếp với máy chủ sở liệu, hỗ trợ tiêm SQL mù theo thời gian chèn SQL dựa lỗi, hỗ trợ bốn hệ thống quản lý sở liệu nhiều 1.2.2 2010 Tháng 12, Bernardo Miroslav cập nhật sqlmap nhiều chuẩn bị phát hành sqlmap 0.9 quý năm 2011 • Ngày 14 tháng 3, Bernardo Miroslav phát hành phiên ổn định sqlmap 0.8 với nhiều tính Trong số này, hỗ trợ liệt kê kết xuất tất bảng sở liệu có chứa (các) cột người dùng cung cấp, tính ổn định cải tiến cho chức tiếp quản, tích hợp cập nhật với Metasploit 3.3.3 nhiều tính nhỏ lỗi • Tháng 3, video demo sqlmap xuất • Tháng 1, Bernardo mời trình bày hội nghị AthCon Hy Lạp vào tháng năm 2010 1.2.3 2009 • Ngày 20 tháng 11, Bernardo Guido trình bày lại nghiên cứu họ việc tiếp quản máy chủ sở liệu tàng hình CON dence 2009 Warsaw, Ba Lan • Ngày 26 tháng 9, phát hành sqlmap phiên 0.8 alpha công khai kho lưu trữ chuyển đổi, với tất vectơ công cơng bố Hội nghị SOURCE Barcelona 2009 • Tháng 8, Bernardo nhận làm diễn giả hai hội nghị bảo mật CNTT khác, SOURCE Barcelona 2009 CON dence 2009 Warsaw Nghiên cứu có tiêu đề Mở rộng khả kiểm soát hệ điều hành từ sở liệu • Ngày 25 tháng 7, phiên ổn định sqlmap 0.7 mắt! • Ngày 27 tháng 6, Bernardo trình bày phiên cập nhật SQL injection: Không AND = slide Diễn đàn Bảo mật Kỹ thuật số lần thứ Lisbon, Bồ Đào Nha • Ngày tháng 6, sqlmap phiên 0.6.4 đưa vào kho lưu trữ Ubuntu • Tháng 5, Bernardo trình bày lại nghiên cứu việc tiếp quản hệ điều hành thông qua SQL injection OWASP AppSec Europe 2009 Warsaw, Ba Lan EUSecWest 2009 London, UK • Ngày tháng 5, phiên sqlmap 0.6.4 chấp nhận rõ ràng kho lưu trữ Debian • Ngày 22 tháng 4, phát hành sqlmap phiên 0.7 thức cơng bố rộng rãi, với tất vectơ công công bố Hội nghị Black Hat Europe 2009 • Ngày 16 tháng 4, Bernardo trình bày nghiên cứu (slide, whitepaper) Black Hat Europe 2009 Amsterdam, Hà Lan • Ngày tháng 3, Bernardo lần trình bày số tính gần sqlmap cải tiến tới kiện quốc tế, Hội nghị OWASP Front Range 2009 Denver, Hoa Kỳ Bản trình bày có tiêu đề SQL injection: Not only AND = • Ngày 24 tháng 2, Bernardo nhận làm diễn giả Black Hat Europe 2009 với thuyết trình có tiêu đề Khai thác SQL nâng cao để kiểm sốt tồn hệ điều hành • Ngày tháng 2, sqlmap 0.6.4 phát hành điểm cuối cho 0.6: tận dụng kiểm tra truy vấn xếp chồng triển khai 0.6.3, sqlmap sử dụng để thực thi câu lệnh SQL tùy ý nào, khơng SELECT Ngồi ra, nhiều tính ổn định, tinh chỉnh cải thiện tốc độ phiên • Ngày tháng 1, Bernardo trình bày nội khai thác SQL injection kiện riêng London, Vương quốc Anh 1.2.4 2008 • Ngày 18 tháng 12, sqlmap 0.6.3 phát hành với tính hỗ trợ truy xuất mục tiêu từ ghi proxy Burp WebScarab, hỗ trợ kiểm tra truy vấn xếp chồng lên trước đưa vào SQL mù dựa thời gian • Ngày tháng 11, phiên sqlmap 0.6.2 phát hành lỗi • Ngày 20 tháng 10, phát hành điểm sqlmap, 0.6.1, cơng bố rộng rãi • Ngày tháng 9, gần năm sau phát hành trước, sqlmap 0.6 đời với tính tái cấu trúc mã hồn chỉnh, hỗ trợ thực thi câu lệnh SQL SELECT tùy ý, thêm tùy chọn để liệt kê kết xuất thơng tin cụ thể, gói cài đặt hồn toàn cho Debian , Red Hat, Windows nhiều • Tháng 8, hai danh sách gửi thư chung tạo SourceForge • Tháng 1, kho lưu trữ phát triển phụ sqlmap chuyển khỏi SourceForge chuyển sang chế độ riêng tư thời gian 1.2.5 2007 • Ngày tháng 11, phát hành 0.5 đánh dấu kết thúc việc tham gia thi OWASP Spring of Code 2007 Bernardo hoàn thành tất đối tượng propsed bao gồm hỗ trợ ban đầu cho Oracle, hỗ trợ nâng cao cho việc tiêm SQL truy vấn UNION hỗ trợ kiểm tra khai thác việc đưa SQL vào tiêu đề HTTP Cookie UserAgent • Ngày 15 tháng 6, Bernardo phát hành phiên 0.4 kiện quan trọng OWASP Spring of Code 2007 Bản phát hành có cải tiến cơng cụ DBMS ngerprint, hỗ trợ tính tốn thời gian đến ước tính, tùy chọn để liệt kê liệu cụ thể từ máy chủ sở liệu hệ thống ghi nhật ký hoàn toàn • Tháng 4, sqlmap khơng phải dự án OWASP, chấp nhận, số nhiều dự án mã nguồn mở khác cho OWASP Spring of Code 2007 • Ngày 30 tháng 3, Bernardo áp dụng cho OWASP Spring of Code 2007 • Ngày 20 tháng 1, phiên sqlmap 0.3 phát hành, có hỗ trợ ban đầu cho Microsoft SQL Server, hỗ trợ kiểm tra khai thác điểm tiêm SQL truy vấn UNION điểm tiêm tham số POST 1.2.6 2006 • Ngày 13 tháng 12, Bernardo phát hành phiên 0.2 với cải tiến lớn chức dấu vân tay DBMS thay thuật toán suy luận cũ thuật toán phân giác • Tháng 9, Daniele rời dự án, Bernardo Damele A G tiếp quản • Tháng 8, Daniele bổ sung hỗ trợ ban đầu cho PostgreSQL phát hành phiên 0.1 • Ngày 25 tháng 7, Daniele Bellucci đăng ký dự án sqlmap SourceForge phát triển kho lưu trữ chuyển đổi SourceForge Khung triển khai hỗ trợ hạn chế cho MySQL thêm vào 1.2.7 2021 • Ngày tháng 1, phiên ổn định 1.5 phát hành 1.2.8 2020 10 Bước 10 Tiếp đến, cần thống kê dvwa tables, cách dùng lệnh sau: sqlmap -u "http://192.168.1.4/dvwa/vulnerabilities/sqli/?id=1&Submit=Submit" -cookie="PHPSESSID=d1b8hqpf8vvhlbuehtce03dea5; security=low" -D dvwa –tables Trong đó: • -D: tên DBMS database để thống kê • tables: thống kê DBMS database tables Sau kết thúc, kết thu hình đây: Chúng ta thu kết Database: dvwa • [2 tables] - guestbook - users Bước 11: Tiếp đến cần thu thập thông tin columns user tables, cách dùng lệnh: 37 sqlmap -u "http://192.168.1.4/dvwa/vulnerabilities/sqli/?id=1&Submit=Submit" -cookie="PHPSESSID=d1b8hqpf8vvhlbuehtce03dea5; security=low" -D dvwa –T users -columns Trong đó: • -T: DBMS database table để thống kê • columns: thống kê columns DBMS database tables Kết thu hình đây: Như thấy thơng tin tables bao gồm columns: user, avatar, first_name, last_name, password, user_id Bước 12: Cuối cùng, cần thu lại tất username pasword tables này, dùng lệnh: 38 sqlmap -u "http://192.168.1.4/dvwa/vulnerabilities/sqli/?id=1&Submit=Submit" -cookie="PHPSESSID=d1b8hqpf8vvhlbuehtce03dea5; security=low" -D dvwa –T users – C user,password –dump Trong đó: • -T: DBMS database table để thống kê • -C: DBMS database table columns để thống kê • dump: dump đối tượng DBMS database table Trong trình chạy, SQLMap hỏi có crack password dạng clear-text hay khơng Bấm Enter để tiếp tục Sau hồn thành, thu kết hình: 39 Như thấy từ kết quả, SQLMap đưa username password dạng hash dạng clear-text Nhận xét: Mặc dù SQLMap với đầy đủ tính với việc có thao tác dịng lệnh khiến cho khơng quen với mơi trường dịng lệnh cảm thấy khó để tìm hiểu cơng cụ 4.3 Sử dụng SQLMap với BurpSuite + CO2 BurpSuite ứng dụng Java sử dụng trình thử nghiệm thâm nhập (Penetration Testing) CO2 tiện ích BurpSuite nhằm hỗ trợ trình thử nghiệm thâm nhập đơn giản nhanh Để chạy BurpSuite Windows, cần tải Java cài đặt hệ thống Sau tải BurpSuite Trong hướng dẫn này, sử dụng BurpSuite Kali Linux Bước 1: Khở chạy BurpSuite cách truy cập: Applications => Kali Linux => Top 10 Security Tools => burpsuite 40 Bước 2: Tiến hành cài đặt tiện ích CO2, cách chọn tab Extender => Bapp Store Sau cài đặt thành công, bạn thấy tab CO2 xuất 41 Bước 3: Trong trình duyệt, bạn truy cập vào dvwa thay đổi cấp độ bảo mật hình dưới: Bước 4: Mở trình duyệt web Firefox, thay đổi Connection Settings hình đây: 42 Bước 5: Trong Burpsuite, thiết lập proxy hình dưới: Bước 6: Trở lại trình duyệt web, truy cập dvwa chọn SQL Injection (Blind) 43 Bước 7: Nhập tham số vào ô User ID (trong trường hợp nhập 1), sau click Submit Bước 8: Chuyển sang hình Burpsuite, bạn nhìn thấy tất yêu cầu tới dvwa từ trình duyệt ghi lại 44 Bạn chọn dòng mà phù hợp với tham số bạn nhập trình duyệt, sau click chuột phải chọn Send to SQLMapper (Request) 45 Bước 9: Bạn chọn tab Co2, lúc bạn nhìn thấy giao diện bao gồm tham số giống tham số SQLMap Bạn muốn thống kê thông tin sở liệu bạn cần đánh dấu vào chứa thơng tin tương ứng ô SQLMap Command tự động đưa lệnh phù hợp với yêu cầu bạn Sau bạn click chuột phải vào ô chọn Copy all Bước 10: Bạn cần mở Terminal nhập sqlmap sau dán tham số bạn vừa copy Bạn nhận hình sau: Với tiện ích này, bạn có nhiều tùy chỉnh cho việc tạo truy vấn “độc hại” để khám lỗi SQL Injection Thơng tin thêm bạn tham khảo video cách sử dụng tùy chọn cao tiện ích 46 4.4 Quét lấy bảng, user, CSDL từ website chứa lỗi SQLi (Demo Tham Khảo) Trong demo này, thử tìm cách lấy thơng tin đăng nhập vào trang Web: http://testphp.vulnweb.com/ (Đây trang Web demo nên bạn thử thoải mái nhé) Bước 1: Mở teminal gõ lệnh sau: sqlmap –u”http://testphp.vulnweb.com/search.php?test=query” u: url mục tiêu: SQLMap phát lỗ hổng mục tiêu vào đưa thông tin lỗ hổng 47 Bước 2: Khi xác định website mục tiêu tồn lỗ hổng SQL injection, ta tiến hành tìm tên sở liệu python sqlmap.py –u “http://testphp.vulnweb.com/search.php?test=query” –dbs dbs option để liệt kê sở liệu website Bước 3: Sau xác định tên sở liệu, ta tìm tiếp tên bảng có sở liệu sqlmap -u”http://testphp.vulnweb.com/search.php?test=query” –tables -D acuart Option – tables để liệt kê tất bảng có sở liệu Option –D tên sở liệu cần liệt kê bảng Câu lệnh để liệt kê bảng sở liệu acuart 48 Bước 4: Xác định tên cột bảng Ta thấy table user chứa thơng tin đăng nhập nên ta sử dụng lệnh sau để xác định tên cột bảng user sqlmap -u”http://testphp.vulnweb.com/search.php?test=query” –columns -D acuart -T users Option –columns để liệt kê cột bảng Option –D tên csdl Option –T tên bảng cần liệt kê cột Câu lệnh liệt kê trường bảng user csdl acuart Trong users có trường uname pass khả cao chưa tên tài khoản mật để đăng nhập vào hệ thống Bước 5: Lấy liệu bảng sqlmap -u”http://testphp.vulnweb.com/search.php?test=query” –dump -D acuart -T users Câu lệnh để lấy ghi bảng users 49 Bảng users có ghi chứa thơng tin username password “test”, “test” Sử dụng tài khoản này, ta đăng nhập vào hệ thống Chương : Đánh giá Kết Luận Nhận xét: - - Mặc dù SQLMap với đầy đủ tính với việc có thao tác dịng lệnh khiến cho khơng quen với mơi trường dịng lệnh cảm thấy khó để tìm hiểu cơng cụ Đây cơng cụ mạnh , quét loại công, đặc biệt dạng cơng điển hình SQL injection Và số dạng công khác Dễ kết hợp với tools khác Được phát triển cập nhật Được chuyên gia bảo mật khuyên dùng 50 TÀI LIỆU THAM KHẢO sqlmap - why (not how) it works? (slides) presented by Miroslav at Navaja Negra & ConectaCon in Albacete (Spain) on October 14th, 2015 sqlmap - Under the Hood slides presented by Miroslav at PHDays 2013 in Moscow (Russia) on May 23, 2013 DNS exfiltration using sqlmap slides and accompanying whitepaper titled Data Retrieval over DNS in SQL Injection Attacks presented by Miroslav at PHDays 2012 in Moscow (Russia) on May 31st, 2012 Advanced SQL injection to operating system full control whitepaper and slides presented by Bernardo at Black Hat Europe 2009 in Amsterdam (The Netherlands) on April 16th, 2009 SQL injection: Not only AND 1=1 slides presented by Bernardo at the 2nd Digital Security Forum in Lisbon (Portugal) on June 27th, 2009 https://www.youtube.com/watch?v=IR1JsaSQLMc&t=2s 4956.pdf https://suckhoedoisong.edu.vn/sqlmap-la-gi/ https://cupdf.com/document/sql-map-tutorial-5627bed1310e1.html 51 ... Trong tổng số 1.271 công mạng, số cố công Malware ghi nhận 623 cố Số cố công Phishing công Deface 449 199 cố (Hình 1) Riêng tháng 3/2021, Cục An tồn thơng tin ghi nhận 491 cố công mạng vào hệ thống... Chương : Tìm hiểu cơng cụ SQLMap cài đặt 12 2.1 Tìm hiểu tool SQLMap 12 2.1.1 SqlMap gì? 12 2.1.2 Một số tính 13 2.2 Hướng dẫn cài đặt tool SqlMap. .. sử dụng sqlmap (trang trình bày) kèm theo báo cáo thức Truy xuất liệu qua DNS SQL Injection Attacks PHDays 2012 Moscow, Nga 11 Chương : Tìm hiểu cơng cụ SQLMap cài đặt 2.1 Tìm hiểu tool SQLMap