Blind
SQL Injection - Mari kita bicara pertama tentang polos, kuno, tanpa embel-embel SQL Injection. Ini adalah hacker yang Metode yang memungkinkan seorang penyerang yang tidak sah untuk mengakses server database. Hal ini difasilitasi oleh kesalahan pengkodean umum: program menerima data dari klien dan mengeksekusi SQL query tanpa pertama memvalidasi masukan klien.
Penyerang kemudian bebas untuk mengekstrak, memodifikasi, menambah, atau menghapus konten dari database.
Dalam beberapa keadaan, ia bahkan mungkin menembus masa lalu server database dan ke system.1 operasi yang mendasari Hacker biasanya menguji kerentanan injeksi SQL dengan mengirimkan input aplikasi yang akan menyebabkan server untuk menghasilkan sebuah query SQL yang tidak valid. Jika server kemudian kembali pesan kesalahan ke klien, penyerang akan mencoba untuk reverse-engineer bagian dari query SQL asli menggunakan informasi yang diperoleh dari pesan-pesan kesalahan. khas perlindungan administrasi hanya untuk melarang tampilan kesalahan database server pesan. Sayangnya, itu tidak cukup. Jika aplikasi Anda tidak kembali pesan kesalahan, itu mungkin masih rentan terhadap "buta" serangan SQL injection7.
0 komentar:
Post a Comment