Ako získať celý obsah databázy e-shopu alebo webovej aplikácie?

Ako získať celý obsah databázy e-shopu alebo webovej aplikácie?

V minulom blogu sme vám ukázali ako je možné získať administrátorský prístup pomocou zraniteľnosti typu XSS. Teraz si ukážeme zneužitie oveľa bežnejšej a jednoduchšie zneužiteľnej chyby zvanej SQL Injection. Dochádza k nej taktiež vtedy, keď vývojár webovej aplikácie neošetrí vstupy, napríklad keď parameter od užívateľa vloží priamo do SQL dotazu, ktorý pošle na databázu. Zneužitím takejto zraniteľnosti je často možné získať komplet prístup k databáze servera a získať všetky dáta z databázy. V tomto síce umelom, ale veľmi realistickom príklade získame všetky čísla kreditných kariet užívateľov nášho testovacieho elektronického obchodu.

O autorovi

Citadelo
Citadelo
Citadelo je dom plný etických hackerov na vašej strane. Pomáhame otestovať ich informačnú bezpečnosť. Podrobte svoje IT prostredie výzve a odhaľte, do akej miery sú vaše citlivé dáta chránené.
Zobraziť viac od autora

Podobné blogy