نحوه ایجاد باگ SQl

 

در این پست میخواهیم با هم  امورش ببینیم که باگ sql چیست و چرا حمله از این نوع را میگویند  Sql Injection

اینجکشن به معنای تزیق است. درفضای سایبری  Sql injection به معنی تزیق کد های مخرب برای نفوذ به سایت اسیب پذیز

هدف ما اموزش نفوذ نیست بلکه جلوگیری از این نوع حملات میباشد که امروزه با گسترش وب سایت ها این باگ هر روز گسترش پیدا میکنه.


یک حمله SQL Injection چیست؟

در این نوع حمله شخص نفوذ گر با استفاده از دستورات slq سعی به دست یابی در پایگاه داده رو دارد.

خیلی از سایت های مهم با این روش دچار مشکل شده اند پس خیلی خطرناکه

با یه مثال پیش میریم: 

وب سایت ها دو مقدار از از کاربر میگیرد و بعد اجازه لاگین میدهند.. مثلا ایدی و پسورد

بعد این دو مقدار را با پایگاه داده مقایسه میکنه و اگر نتیجه مقایسه درست بود لاگین میشه

نام کاربری : Ali

پسوردBagheri

کدی که تولید میشه به این صورته



SELECT COUNT(UserID) FROM tblUsers WHERE UserID=''' & UserID.Text & ''' AND Pass=''' & Password.Text & '

''''

کد با هم تفسیر میکنیم

 اینجا میگه انتخاب کن یوزر ایدی را از تیبل یوزر.به شرطی که یوزر  ایدی مساوی با یوزر ایدی باشه و پسورد هم مساوری پسورد

دقت کنید از And به معنای (و) استفاده شده

ما در بالا علی باقری وارد کرده ایم..پس کدی که مورد پردازش قرار میگیره 

  SELECT COUNT(UserID) FROM tblUsers WHERE UserID='ali' AND Pass='bagheri

تا اینجا همه چیز درست است

شخص نفوذ گر با استفاده از دستوراتی مانند   ' OR 1=1 –  میتونه نتیجه پردازش را درست و لاگین شود

برنامه نویس میتواند با کمی دقت این گونه باگ ها را از بین ببرد:

1. محدود کردن دستورات مثل insert.select

2.استفاده از دستور  Replace مقدار '  را چک کند

3.کلماتی که برای sql از پیش تعریف شده مانند update.delete که از ورودی دریاقت میشه حذف کند

در اخر یه نمونه سایت معرفی میکنم که مشکل باگ SQL دارد

اگر به اخز ادرس سایت یک تک ' وارد کنیم..با Error Sql مواجه میشیم

http://www.xsomo.com.jm/news.php?read=45

این مطلب فقط جنبه اموزشی دارد. 





مطالب مشابه :


اطلاعیه رسمی ریدکال | ارور 3

آموزش تخصصی در مورد باگـ های رید کال - اطلاعیه رسمی ریدکال اموزش ساخت ایدی فارسی




رید کال مخصوص مولتی کشی

آموزش تخصصی در مورد باگـ های رید کال اموزش ساخت ایدی {این توسط رید کال فیـکـس شـد}




دانلود ورژن آخر اسکریپت ای تی چت ET-Chat v3.0.7

آموزش حل مشکل عدم ارسال پیام در صفحه پلاگین حرفه ای ساخت کاربر رفع اکثر باگ




آموزش تقلب طلا در تراوین اسپید

Travian - آموزش تقلب طلا در تراوین اسپید - همه چیز در باره تراوین




نحوه ایجاد باگ SQl

اموزش مفید.تست امنیت.تاره های فناوری - نحوه ایجاد باگ SQl - تازه‌های دنیای کامپیوتر و فناوری




دانلود رایگان رفع باگ خرید طلا از طریق پارسپال

Travian - دانلود رایگان رفع باگ خرید طلا از طریق پارسپال - همه چیز در باره تراوین




باگ پت Hunter

ين باگ تلفيقي از pet باگ و talent hack آموزش ساخت سایت برای سرور WoW . ساخت و راه اندازی سرور wow .




برچسب :