citadelo

Všetky články

15 január 2018 / 1 minúta čítania

Ako získať celý obsah databázy e-shopu alebo webovej aplikácie?

Teraz si ukážeme zneužitie oveľa bežnejšej a jednoduchšie zneužiteľnej chyby zvanej SQL Injection. Dochádza k nej taktiež vtedy, keď vývojár webovej aplikácie neošetrí vstupy, napríklad keď parameter od užívateľa vloží priamo do SQL dotazu


V minulom blogu sme vám ukázali ako je možné získať administrátorský prístup pomocou zraniteľnosti typu XSS. Teraz si ukážeme zneužitie oveľa bežnejšej a jednoduchšie zneužiteľnej chyby zvanej SQL Injection. Dochádza k nej taktiež vtedy, keď vývojár webovej aplikácie neošetrí vstupy, napríklad keď parameter od užívateľa vloží priamo do SQL dotazu, ktorý pošle na databázu. Zneužitím takejto zraniteľnosti je často možné získať komplet prístup k databáze servera a získať všetky dáta z databázy. V tomto síce umelom, ale veľmi realistickom príklade získame všetky čísla kreditných kariet užívateľov nášho testovacieho elektronického obchodu.

logo
Member of Boltonshield

Prihláste sa k odberu nášho newslettera a získajte všetky dôležité novinky v oblasti kybernetickej bezpečnosti a etického hackovania.

© 2024 citadelo AG. Všetky práva vyhradené.

facebooklinkedinxyoutube