SQLインジェクション
SQLとは?
- ほとんどのウェブサイトは、データを格納するデータベースを使用します。
- ほとんどのデータは、それに保存されている(ユーザー名、パスワード..etc。)
- Webアプリケーションは、データベース内の、更新と挿入データを読み込みます。
- DBとの相互作用は、SQLを使用して行います。
なぜ彼らはSO危険です
1.彼らはどこにでもあります。
2.データベースに与えるアクセス - >機密データ。
3. WWWルート外のローカルファイルを読み取るために使用することができます。
4.管理者としてログインし、システムをさらに活用するために使用することができます。
5.ファイルをアップロードするために使用することができます。
POST中に発見SQLI
- ページを破るようにしてください。
- 使用して「と」「'」または、「によって順番」。
- フォーム上のテキストボックスとURLパラメータをテストします。
http://target.com/page.php?something=something
Metasplitable2についての事前設定:
以下は、非常に便利なエラーメッセージです。
それでは、パスワードボックスに入力を変更してみましょう。私たちは今、間違ったパスワードでログインすることができます。
認証をバイパス。
