Το προφίλ μας στο Google Plus
0

Η ισχύς εν τη ενώσει!

Αν και στις μέρες μας οι ενώσεις (πολιτικές, οικονομικές κ.λπ.) δείχνουν σιγά σιγά τις αδυναμίες τους, υπάρχουν περιπτώσεις που λειτουργούν με αξιοθαύμαστη ικανότητα. Μετά τη σαρωτική επίθεση στα τυφλά (βλ. deltaHacker 012), ήρθε η ώρα να δούμε μια άλλη τεχνική SQL injection. Σημειώστε ότι αυτή η τεχνική, στην πιο απλή εκδοχή της, εκτελείται ευκολότερα και γρηγορότερα, ενώ είναι εξίσου αποτελεσματική με όσα έχουμε δει ως τώρα. Το όνομά της είναι UNION SELECT. Όταν είστε έτοιμοι, ξεκινάμε… :)

deltaHacker 013 (τεύχος Οκτωβρίου 2012) | Η ισχύς εν τη ενώσει!

Να θυμίσουμε εν τάχει ότι με τον όρο SQL injection εννοούμε το μη προβλεπόμενο χειρισμό μιας βάσης δεδομένων, μέσω της αντίστοιχης εφαρμογής web. Αυτό επιτυγχάνεται από τα λεγόμενα σημεία εισόδου. Πρόκειται για περιοχές της εφαρμογής, στις οποίες ο χρήστης εισάγει δεδομένα αυθαίρετα κι ο κώδικας δεν κάνει σωστό sanitization. Από αυτά τα σημεία ο χρήστης μπορεί να εισαγάγει ερωτήματα (queries) προς τη βάση και να εκτελέσει επάνω της παράνομες λειτουργίες. Σε κάθε είδος SQL injection –και σε αυτό που θα δούμε– οι βασικοί άξονες της μεθοδολογίας είναι πάντα ίδιοι: Αρχικά εντοπίζουμε ένα ικανό σημείο εισόδου (injection point), στη συνέχεια βρίσκουμε τον τρόπο να το εκμεταλλευτούμε (exploitation) και τέλος συλλέγουμε δεδομένα από τη βάση ή τα αλλοιώνουμε (information gathering ή data tampering).

Διαβάστε όλο το άρθρο στο deltaHacker 013 (τεύχος Οκτωβρίου 2012). Όλες τις πληροφορίες για τις συνδρομές στο deltaHacker, το μοναδικό μηνιαίο περιοδικό με θεματολογία ethical hacking, δίκτυα, ασφάλεια, προγραμματισμό και ηλεκτρονικά που δεν κυκλοφορεί στα περίπτερα και απευθύνεται σε όλους, θα τις βρείτε εδώ ακριβώς. Για παραγγελίες μεμονωμένων τευχών ή συνδρομών συμπληρώστε τη σχετική φόρμα.

Σημείωση: Οι συνδρομές μπορούν να ξεκινούν από όποιο τεύχος επιθυμείτε, αρκεί να υπάρχει σε stock.

Leave a Reply

You must be logged in to post a comment.

Σύνδεση

Αρχείο δημοσιεύσεων