Посмотреть посты в: Информационная безопасность

SQL инъекции. Стек запросов

Возможность выполнять стек запросов даёт большой простор действий для злоумышленника. По завершение основного запроса выполняется новый запрос, с помощью которого можно изменить данные или вызвать хранимые процедуры.

Далее


Использование комментов для упрощения SQL инъекций

Правильное завершение запроса — это основная проблема, с которой может столкнуться атакующий во время тестирования. Инъекция не должна ломать sql запрос, и значит что часть следующая за инъекцией, тоже должна быть валидна. В этой статье разберем, как комментарии смогут отбросить концовку запроса, следующую за инъекцией, для упрощения атаки.

Далее


SQL инъекция. UNION QUERY INJECTION

SQL инъекции (SQLI) — это техника, позволяющая внедрить свой SQL-код в БД используя уязвимость в приложении. Используя синтаксис SQL, атакующий может изменить запрос к базе данных, для получения необходимой информации или получения контроля над ней. В основном данный тип атак применим для веб приложений, но он может быть использован в любом приложении, где используются sql ДБ и входящие пользовательские данные обрабатываются плохо.

Виды SQL инъекций:

  1. UNION query SQLI
  2. Error-base SQLI
  3. Stacked queries
  4. Boolean based blind SQLI
  5. Time base blind SQLI
  6. Комментарии в инъекции

В это статье подробнее расскажу про UNION query SQL Injection Далее