De injeção de código e de injeção de sql hacks em aplicações web
ataques de injeção de código manipular as variáveis de sistema específicas. Isso dá a hackers a oportunidade de aceder a essa informação sensível que eles adoram. Hackers pode usar esta informação para determinar mais sobre a aplicação Web e o seu funcionamento interno, que em última instância pode levar a um compromisso sistema grave. Aqui está um exemplo:
Conteúdo
https://your_web_app.com/script.php?info_variable=X
Atacantes que vêem esta variável pode começar a inserir dados diferentes para o info_variable campo, mudando X para algo como uma das seguintes linhas:
https://your_web_app.com/script.php?info_variable=Yhttps://your_web_app.com/script.php?info_variable=123XYZ
A aplicação web pode responder de uma forma que dá atacantes mais informações do que eles querem, como erros detalhados ou acesso em campos de dados que não está autorizado a acessar. A entrada inválida também pode causar o aplicativo ou o servidor para pendurar. Hackers pode usar esta informação para determinar mais sobre a aplicação Web e o seu funcionamento interno, que em última instância pode levar a um compromisso sistema grave.
Video: Encontrando sites vulneráveis a SQL Injection (SQLi Scan - Acunetix) - Invadindo sites #1
Se as variáveis de HTTP são passados na URL e são facilmente acessíveis, é apenas uma questão de tempo antes que alguém explora sua aplicação web.
injeção de código também pode ser realizada contra bancos de dados SQL back-end - um ataque conhecido como Injeção SQL. ataques maliciosos inserir instruções SQL, tais como CONECTAR, SELECIONAR, e UNIÃO, em solicitações de URL para tentar se conectar e extrair informações do banco de dados SQL que o aplicativo web interage com. injeção de SQL é possível graças a aplicações não validar corretamente a entrada combinada com erros informativos devolvidos a partir de servidores de banco de dados e servidores web.
Video: Injeção de SQL e cookie injection
Dois tipos gerais de injeção SQL são padrão (também chamado baseada em erro) e cego. Baseada em erro injeção de SQL é explorada com base em mensagens de erro retornadas a partir da aplicação quando a informação inválida é introduzida no sistema. Cego injeção SQL ocorre quando mensagens de erro são desativados, exigindo que o hacker ou ferramenta automatizada para adivinhar o que o banco de dados está retornando e como ele está respondendo a ataques de injeção.
Há uma maneira rápida, bastante confiável para determinar se sua aplicação web é vulnerável a injeção de SQL. Basta digitar um único apóstrofo (’) nos campos do formulário web ou no final da URL. Se um erro de SQL é devolvido, as chances são boas de que a injeção de SQL está presente.
Você está indo definitivamente para obter o que você paga quando se trata de digitalização para e descobrindo injeção de SQL com um scanner de vulnerabilidade web. Tal como acontece com manipulação de URL, você está muito melhor executando um scanner de vulnerabilidade web para verificar se há injeção de SQL.
Quando você descobrir vulnerabilidades de injeção SQL, você pode estar inclinado a parar por aí. Você poderia manter escavação. Um excelente - e surpreendentemente simples - ferramenta para usar para isso é SQL Injector, que vem com WebInspect. Você simplesmente fornecer a ferramenta com o URL suspeito de que o scanner descoberto, e o processo de injeção SQL começa.
Você pode clicar nos botões de dados ou dados Bomba em SQL Injector Obter para começar a despejar informações, levando-o para o objetivo final hacking ético.
Video: COMO FUNCIONA UM ATAQUE DE SQL INJECTION [PARTE 1]
Acunetix Web Vulnerability Scanner tem uma ferramenta de injeção de SQL semelhante construído em bem.
Se o seu orçamento é limitado, você pode considerar o uso de uma ferramenta de injeção SQL livre, como SQL Power Injector ou o Firefox Add-on, SQL me injete.