CÂU LỆNH SELECT

Một phần của tài liệu Đồ án phương pháp tấn công vào trang web và cách phòng chống xây dựng ứng dụng demo sql ịnection (Trang 53 - 54)

- Bước 4: Hacker đã tạo mỘt đoạn mã hay chương trình hoặc một trangWeb để ghi nhận những thơng tin đã đánh cắp vào một tập tin.

CÂU LỆNH SELECT

3.1 MỤC TIÊU THỬ NGHIỆM

Trang web “The Hunter” cung cấp cho khách hàng về mặt cơng nghệ dịch vụ thực phẩm. Nhiệm vụ của trang web này là để tìm kiếm, nguồn cung cấp đa dạng về đặc sản để dịch vụ thực phẩm của trang web và khách hàng bán lẻ.

FreshPoint cĩ 27 hoạt động phân phối cơng ty sở hỮu trên khắp Bắc Mỹ. Với hơn $ 750 triệu USD doanh thu hàng năm, cơng ty phỤc vụ rất nhiều các nhà khai thác dịch vụ thực phẩm hàng đầu. Freshpoint đã hoạt động trong khu vực hầu như tất cả các ngành cơng nghiệp sản xuất mới bao gồm cả phân phối bán lẻ và bán buơn, tìm nguồn cung ứng nhập khẩu / xuất khẩu và vận chuyển. FreshPoint là mỘt cơng ty con của SYSCO, dịch vụ thực phẩm lớn nhất và tiếp thị cơng ty

phân phối tại Bắc Mỹ.

Trang web bao gồm các mục chính :

- _ WhaUs hot: Mục mặt hàng hot nhất trong tuần này.

- _ Whats new: Mục mặt hàng mới cập nhật. - - What”s out: MỤc ngồi nhỮng mặt hàng nĩi trên.

- _ Product Index: Chỉ mục sản phẩm

Phần demo này của em sẽ thử nghiệm lỗi SQL Injection trong mục Product Index vì trong mục này cho phép khách hàng truy vấn đến sản phẩm trong cơ sở

dữ liệu.

3.2 CHIẾN LƯỢC TẤN CƠNG BẰNG SELECT SQL INJECTION 3.2.1 Kỹ thuật tấn cơng Select SQL Injection 3.2.1 Kỹ thuật tấn cơng Select SQL Injection

Ngồi kỹ thuật đơn giản trên nêu Ở chương 2, việc tấn cơng SQL Injection sử dụng câu lệnh Select thường dựa trên những thơng báo lỗi để lấy thơng tin về bảng cũng như nhỮng trường trong bảng. Để làm được điều này, cần phải hiểu những thơng báo lỗi và từ đĩchÏnh sửa nội dung nhập cho phù hợp

® -_ Direct Injection: NhỮng đối số được thêm vào trong câu lệnh mà khơng nằm giữa nhỮng dấu nhấy đơn hay dấu ngoặc kép là trường hợp direct injection. se Quo(e Injection: NhỮng trường hợp đối số được nhập vào đều được ứng

dụng cho vào giữa hai dấu nháy đơn hay ngoặc kép là tường hợp Quote Injection.

3.2.2 Các bước tấn cơng $% Bước 1 : Thử lỗi

- _ Đầu tiên lổi sql được thử bằng cách thêm dấu ' sau câu lệnh truy vấn, với kết quả server trả về thể hiện lối sql phát hiện được, thì bƯớc tiếp theo là sử dụng các lệnh truy vấn tấn cơng lấy thơng tin của database:

© S Bước 2: Lấy các thơng tin như tên của server, tên của database:

- _ Thực hiện tấn cơng sql dạng sử dụng câu lệnh SELECT, bằng cách thêm

đoạn truy vấn:

Một phần của tài liệu Đồ án phương pháp tấn công vào trang web và cách phòng chống xây dựng ứng dụng demo sql ịnection (Trang 53 - 54)

(64 trang)