Ako získať celý obsah databázy e-shopu alebo webovej aplikácie?

Teraz si ukážeme zneužitie oveľa bežnejšej a jednoduchšie zneužiteľnej chyby zvanej SQL Injection. Dochádza k nej taktiež vtedy, keď vývojár webovej aplikácie neošetrí vstupy, napríklad keď parameter od užívateľa vloží priamo do SQL dotazu

15 január 2018 / 1 minúta čítania

Kyberbezpečnosť

Etické hackovanie

Penetračné testovanie

V minulom blogu sme vám ukázali ako je možné získať administrátorský prístup pomocou zraniteľnosti typu XSS. Teraz si ukážeme zneužitie oveľa bežnejšej a jednoduchšie zneužiteľnej chyby zvanej SQL Injection. Dochádza k nej taktiež vtedy, keď vývojár webovej aplikácie neošetrí vstupy, napríklad keď parameter od užívateľa vloží priamo do SQL dotazu, ktorý pošle na databázu. Zneužitím takejto zraniteľnosti je často možné získať komplet prístup k databáze servera a získať všetky dáta z databázy. V tomto síce umelom, ale veľmi realistickom príklade získame všetky čísla kreditných kariet užívateľov nášho testovacieho elektronického obchodu.

Ďalšie zaujímavé články

Všetky články

24 apríl 2025

Ethical Hacking Report 2024: Šesť zraniteľností v takmer každom testovanom systéme

26 marec 2024

Hlas z prvej línie: Jakub Novák zo Sales o 8 rokoch etického hackingu v Citadele

11 marec 2024

Ethical Hacking Report 2023: Najzranitelnejšie systémy sú Weby, Cloudy a Infraštruktúra

Prihláste sa k odberu nášho newslettera a získajte všetky dôležité novinky v oblasti kybernetickej bezpečnosti a etického hackovania.

Domov

GDPR

Kontakty

Etický kodex

Novinky