26.10.2015 0 Comments

WWW hacking a obrana / 6. časť

V podstate všetky databázové servery MySQL, PostgreSQL aj MS SQL sú približne rovnako náchylné na útoky typu SQL Injection. Medzi útočníkmi však jednoznačne vyhráva vďaka niekoľkým rozdielom MS SQL server. Útočník má uľahčenú prácu tým, že MS SQL server mu dovolí spúšťať multiple queries – viac príkazov oddelených znakom ; – a nepochybne aj bohatými chybovými výpismi databázy, ktorá tak reaguje na chybne zadané príkazy. Veľká časť celého problému SQL Injection spočíva v neošetrení znaku '. V mnohých reálnych situáciách však vôbec nejde len o jednoduché ošetrenie znaku jednoduchej úvodzovky, ale o každý vstup do databázy. A ako teraz uvidíte, na to, aby sme zistili, či je webová aplikácia zraniteľná útokom SQL Injection, stačí zadať miesto čísla (integer) nejaký znak, napríklad písmeno b (char). Ukážeme si konkrétnu aplikáciu, ktorá podľa zadaného čísla (integera) nájde v databáze konkrétny článok a pokúsi sa ho zobraziť.   Formulár zo súboru index.html:
Výber kategórie (od 1-12):
  Vytvorenie databázy a tabuľky v jazyku SQL:   CREATE DATABASE clanky;   CREATE TABLE texty (nazov VARCHAR(100) NOT NULL, id INT NOT NULL                     AUTO_INCREMENT, PRIMARY KEY (id));   INSERT INTO texty VALUES ("Nove servery v predaji", id); INSERT INTO texty VALUES ("Antivirusove systemy", id); INSERT INTO texty VALUES ("Predaj notebookov vzrastol", id); INSERT INTO texty VALUES ("Ako (jednoducho) na Windows Vista", id); INSERT INTO texty VALUES ("Programovanie v C++", id); INSERT INTO texty VALUES ("Instalovanie a odinstalovanie ovadacov na graficke karty", id); INSERT INTO texty VALUES ("Maximalna komprimacia", id); INSERT INTO texty VALUES ("Prevod suborov do MP3", id); INSERT INTO texty VALUES ("MP3 pre ...

Článok je uzamknutý

Pokračovanie článku patrí k prémiovému obsahu PC REVUE, ktorý je dostupný pre predplatiteľov. S digitálnym predplatným za 20 € na celý rok získate neobmedzený prístup k uzamknutému obsahu na webe. Objednať si ho môžete TU. Ak už máte digitálne predplatné PC REVUE prihláste sa TU. Ak máte digitálne predplatné Piano, prihláste sa pomocou Piano.


Prihlásiť pomocou členstva PC REVUE
 
Alebo sa prihláste cez službu Piano





Nechajte si posielať prehľad najdôležitejších správ emailom

Mohlo by Vás zaujímať

ITPro

Právne okienko

08.12.2016 12:02

1. Ako postupovať, ak obchodník nechce uznať reklamáciu tovaru objednaného z e-shopu? V takomto prípade môžu nastať v zásade dve situácie. Ak zákazník reklamuje tovar do 12 mesiacov od jeho kúpy, mož ...

ITPro

Linux súkromne i pracovne v2.0 (14. časť): Small Business Server

09.11.2016 14:57

Pojem Small Business Server (malý firemný server) začala používať spoločnosť Microsoft ešte v roku 2000 na označenie servera, ktorý ­dokázal plniť úlohy niekoľkých samostatných serverov. Aplikačná vrs ...

ITPro

Industry 4.0: Fikcia alebo už realita?

09.11.2016 14:52

Štvrtá priemyselná revolúcia je pomenovanie rozsiahlych zmien prudko vstupujúcich do súčasného priemyslu. Nositeľom týchto zmien je digitalizácia výroby a optimalizácia všetkých podnikových procesov v ...

Vyhľadávanie

Kyocera - prve-zariadenia-formatu-a4-s-vykonom-a3

Najnovšie videá