Code-Injektion und SQL-Injection-Hacks in Web-Anwendungen
-Code-Injection-Angriffe manipulieren spezifische Systemvariablen. Dies gibt Hackern die Möglichkeit, dass sensible Informationen zuzugreifen, die sie lieben. Hacker können diese Informationen benutzen, um mehr über die Web-Anwendung und ihr Innenleben zu bestimmen, was letztlich zu einem ernsten Kompromittierung des Systems führen können. Hier ein Beispiel:
https://your_web_app.com/script.php?info_variable=X
Angreifer, die diese Variable sehen können beginnen verschiedene Daten in die Eingabe info_variable Feld, Ändern X um so etwas wie eine der folgenden Zeilen:
https://your_web_app.com/script.php?info_variable=Yhttps://your_web_app.com/script.php?info_variable=123XYZ
Die Web-Anwendung kann in einer Art und Weise reagieren, die Angreifer mehr Informationen, als sie wollen, wie detaillierte Fehler oder den Zugang zu Datenfelder, sie sind nicht berechtigt, den Zugang gibt. Die ungültige Eingabe könnte auch dazu führen, die Anwendung oder den Server zu hängen. Hacker können diese Informationen benutzen, um mehr über die Web-Anwendung und ihr Innenleben zu bestimmen, was letztlich zu einem ernsten Kompromittierung des Systems führen können.
Wenn HTTP-Variablen in der URL übergeben werden und sind leicht zugänglich, es ist nur eine Frage der Zeit, bis jemand Ihre Web-Anwendung nutzt.
Code-Injektion kann auch gegen Back-End-SQL-Datenbanken durchgeführt werden - einen Angriff bekannt als SQL-Injection. Böswillige Angreifer einfügen SQL-Anweisungen, wie VERBINDEN, WÄHLEN, und UNION, in URL-Anforderungen zu versuchen, Informationen aus der SQL-Datenbank zu verbinden und zu extrahieren, die die Web-Anwendung mit interagiert. SQL-Injection wird durch Anwendungen nicht richtig Eingabe mit informativen Fehler kombiniert Validierung von Datenbankservern und Web-Server zurückgegeben.
Zwei allgemeine Typen von SQL-Injection sind Standard (auch als Fehler-basiert) und blind. Fehler-basierte SQL-Injection basiert auf Fehlermeldungen zurückgegeben von der Anwendung ausgenutzt, wenn ungültige Informationen in das System eingegeben. Blind SQL-Injection geschieht, wenn Fehlermeldungen deaktiviert sind, erfordern die Hacker oder automatisiertes Tool zu erraten, was die Datenbank zurückkehrt und wie es zu Injection-Angriffe reagiert wird.
Es ist eine schnelle, ziemlich zuverlässige Möglichkeit, um zu bestimmen, ob Ihre Web-Anwendung auf SQL-Injection verwundbar ist. ein einzelnes Apostroph ( ') in Ihrem Web-Formularfelder oder am Ende der URL einfach einzugeben. Wenn ein SQL-Fehler zurückgegeben wird, stehen die Chancen gut, dass SQL-Injection vorhanden ist.
Du wirst auf jeden Fall bekommen, was Sie bezahlen, wenn es für und Aufdeckung SQL-Injection mit einem Web Vulnerability Scanner zum Scannen kommt. Wie bei URL-Manipulation, bist du viel besser dran mit einem Web Vulnerability Scanner läuft für SQL-Injection zu überprüfen.
Wenn Sie SQL-Injection-Schwachstellen entdecken, könnte man geneigt sein, es zu stoppen. Sie könnten graben halten. Eine ausgezeichnete - und verblüffend einfach - Werkzeug für diesen Einsatz ist SQL-Injektor, der mit WebInspect kommt. Sie geben einfach das Werkzeug mit dem verdächtigen URL, die der Scanner entdeckt, und die SQL-Injection-Prozess beginnt.
Sie können auf die Daten oder der Pumpendaten Tasten in SQL-Injektor Hier erhalten Sie Informationen zu starten Dumping Sie das ultimative Ethical Hacking Ziel führt.
Acunetix Web Vulnerability Scanner hat eine ähnliche SQL-Injection-Tool in so gut gebaut.
Wenn Ihr Budget begrenzt ist, können Sie erwägen eine kostenlose SQL-Injection-Tool wie SQL Power Injector oder die Firefox-Add-on, SQL Me Injizieren.