Lewatlah sudah hari-hari ketika peretasan situs adalah seni yang canggih. Hari ini tubuh dapat mengakses melalui internet dan mulai hacking website Anda. Semua yang diperlukan adalah melakukan pencarian di google dengan kata kunci seperti cara hack situs hack ke situs web Hacking website,dll Artikel berikut tidak upaya untuk mengajarkan situs hacking, tetapi memiliki lebih berkaitan dengan peningkatan kesadaran pada beberapa umum situs metode hacking.
The Simple SQL Injection Hack
SQL Injection melibatkan memasukkan kode SQL ke dalam bentuk web, misalnya. Login bidang, atau ke dalam kolom alamat browser, untuk mengakses dan memanipulasi database di balik situs, sistem atau aplikasi.
Saat Anda memasukkan teks dalam Username dan Password bidang layar login, data yang Anda masukan biasanya dimasukkan ke dalam perintah SQL. Perintah ini memeriksa data yang telah dimasukkan terhadap tabel yang relevan dalam database. Jika masukan Anda sesuai data tabel / baris, Anda diberikan akses (dalam kasus layar login). Jika tidak, Anda mengetuk kembali keluar.
Dalam bentuk yang paling sederhana, ini adalah bagaimana SQL Injection bekerja. Tidak mungkin untuk menjelaskan hal ini tanpa merujuk kepada kode untuk sesaat. Jangan khawatir, itu semua akan segera berakhir.
Misalkan kita masukkan string berikut di kolom User name:
'OR 1 = 1 -
Query otorisasi SQL yang dijalankan oleh server, perintah yang harus dipenuhi untuk memungkinkan akses, akan menjadi sesuatu di sepanjang baris:
SELECT * FROM pengguna WHERE username = 'USRTEXT'
DAN password = 'PASSTEXT'
... Mana USRTEXT dan PASSTEXT adalah apa yang pengguna memasukkan dalam bidang login formulir web.
Jadi memasuki `OR 1 = 1 - sebagai username Anda, dapat mengakibatkan berikut sebenarnya sedang dijalankan:
SELECT * FROM pengguna WHERE username = '' OR 1 = 1 - 'DAN password =' '
Dua hal yang perlu Anda ketahui tentang ini:
[ '] Menutup [user-name] teks lapangan.
'Ganda-dash-txt.png' adalah konvensi SQL untuk Mengomentari kode, dan semuanya setelah Komentar diabaikan. Jadi rutinitas yang sebenarnya sekarang menjadi:
SELECT * FROM pengguna WHERE nama user = "OR 1 = 1
1 selalu sama dengan 1, terakhir kali saya diperiksa. Jadi rutin otorisasi sekarang divalidasi, dan kami diantar di pintu depan untuk menghancurkan kekacauan.
Mari kita berharap Anda mendapat inti dari itu, dan bergerak cepat di.
Cemerlang! Aku akan pergi untuk hack Bank!
Melambat, koboi. Metode setengah matang ini tidak akan mengalahkan sistem yang mereka miliki di tempat di Citibank,
ternyata
Namun proses tidak melayani untuk menggambarkan apa SQL Injection adalah semua tentang - kode suntik untuk memanipulasi rutin melalui formulir, atau memang melalui URL. Dalam hal masuk memotong melalui Injection, yang beruban tua 'OR 1 = 1 hanyalah salah satu pilihan. Jika seorang hacker berpikir situs rentan, ada cheat sheet seluruh web untuk string masuk yang dapat memperoleh akses ke sistem yang lemah. Berikut adalah beberapa string yang lebih umum yang digunakan untuk menipu rutinitas validasi SQL.
Nama pengguna contoh bidang:
admin'-
') Atau (' a '=' a
") Atau (" a "=" a
hi "atau" a "=" a
scripting lintas situs (XSS)
admin'-
') Atau (' a '=' a
") Atau (" a "=" a
hi "atau" a "=" a
scripting lintas situs (XSS)
pnya org bule di translate
BalasHapus