Nietypowy atak SQL Injection w skrypcie dla hakerów DVWA

Podczas naszego kursu dla początkujących hakerów Web Application Penetration, zaprezentowaliśmy wszystkie dostępne na pierwszy rzut oka podatności występujące w poszczególnych lekcjach oprogramowania webowego Damn Vulnerable Web Application. Jeśli oglądałeś uważnie nasze materiały wideo, pewnie zauważyłeś że skaner podatności Vega wykrył podatność typu SQL Injection w module prezentującym formularz logowania podatny na atak na hasła metodą słownikową […]

Czytaj więcej

WEP lekcja #19 – Blind SQL injection tutorial, Burp Suite i wyciąganie hasła MD5 (hash)

W dzisiejszym tutorial zajmiemy się atakiem Blind SQL Injction. Tego typu podatność różni się od zwykłego ataku SQL tym, że skrypt nie wyświetla żadnych informacji zwrotnych z bazy danych. Przykładem może być zapytanie SELECT, które tylko sprawdza czy w bazie danych istnieje dany użytkownik czy też nie. Nie zwraca żadnych informacji o tej osobie z DB (nawet loginu), […]

Czytaj więcej

WEP lekcja #17 – Wprowadzenie do SQL Injection, phpMyAdmina i MySQL w teorii

Przechodzimy do kolejnej grupy filmów dotyczących nauki SQL Injection. Podatność ta polega na niefiltrowaniu danych pochodzących od użytkownika strony internetowej. Najczęściej występuje w przypadku, gdy do wykonania zapytania do bazy danych potrzebne są dodatkowe informacje od internauty a programista nie sprawdza ich pod względem poprawności technicznej. Dzięki wstrzykiwaniu zapytań SQL napastnik może pobierać, modyfikować a nawet usuwać […]

Czytaj więcej