tailieunhanh - Tấn công kiểu SQL Injection,các phòng chống trong ASP.NET

Tấn công kiểu SQL Injection và các phòng chống trong .1. SQL Injection là gì? SQL Injection là một trong những kiểu hack web đang dần trở nên phổ biến hiện nay. Bằng cách inject các mã SQL query/command vào input trước khi chuyển cho ứng dụng web xử lí, bạn có thể login mà không cần username và password, remote execution, dump data và lấy root của SQL server. Công cụ dùng để tấn công là một trình duyệt web bất kì, chẳng hạn như Internet Explorer, Netscape, Lynx, . 2. Tìm kiếm mục tiêu Có thể tìm các trang web cho. | o o Tấn công kiểu SQL Injection và các phòng chống trong 1. SQL Injection là gì SQL Injection là một trong những kiểu hack web đang dần trở nên phổ biến hiện nay. Bằng cách inject các mã SQL query command vào input trước khi chuyển cho ứng dụng web xử lí bạn có thể login mà không cần username và password remote execution dump data và lấy root của SQL server. Công cụ dùng để tấn công là một trình duyệt web bất kì chẳng hạn như Internet Explorer Netscape Lynx . 2. Tìm kiếm mục tiêu Có thể tìm các trang web cho phép submit dữ liệu ở bất kì một trình tìm kiếm nào trên mạng chẳng hạn như các trang login search feedback . Ví dụ http yours ite. com id 10 Một số trang web chuyển tham số qua các field ẩn phải xem mã HTML mới thấy rõ. Ví dụ như ở dưới. FORM action Search method post input type hidden name A value C FORM 3. Kiểm tra chỗ yếu của trang web Thử submit các field username password hoặc field id . bằng hi or 1 1-- Login hi or 1 1-- Password hi or 1 1-- http id hi or 1 1-- Nếu site chuyển tham số qua field ẩn hãy download source HTML lưu trên đĩa cứng và thay đổi lại URL cho phù hợp. Ví dụ FORM action http Search method post input type hidden name A value hi or 1 1-- FORM Nếu thành công thì có thể login vào mà không cần phải biết username và .