26.10.2015 0 Comments

WWW hacking a obrana / 6. časť

V podstate všetky databázové servery MySQL, PostgreSQL aj MS SQL sú približne rovnako náchylné na útoky typu SQL Injection. Medzi útočníkmi však jednoznačne vyhráva vďaka niekoľkým rozdielom MS SQL server. Útočník má uľahčenú prácu tým, že MS SQL server mu dovolí spúšťať multiple queries – viac príkazov oddelených znakom ; – a nepochybne aj bohatými chybovými výpismi databázy, ktorá tak reaguje na chybne zadané príkazy. Veľká časť celého problému SQL Injection spočíva v neošetrení znaku '. V mnohých reálnych situáciách však vôbec nejde len o jednoduché ošetrenie znaku jednoduchej úvodzovky, ale o každý vstup do databázy. A ako teraz uvidíte, na to, aby sme zistili, či je webová aplikácia zraniteľná útokom SQL Injection, stačí zadať miesto čísla (integer) nejaký znak, napríklad písmeno b (char). Ukážeme si konkrétnu aplikáciu, ktorá podľa zadaného čísla (integera) nájde v databáze konkrétny článok a pokúsi sa ho zobraziť.   Formulár zo súboru index.html:
Výber kategórie (od 1-12):
  Vytvorenie databázy a tabuľky v jazyku SQL:   CREATE DATABASE clanky;   CREATE TABLE texty (nazov VARCHAR(100) NOT NULL, id INT NOT NULL                     AUTO_INCREMENT, PRIMARY KEY (id));   INSERT INTO texty VALUES ("Nove servery v predaji", id); INSERT INTO texty VALUES ("Antivirusove systemy", id); INSERT INTO texty VALUES ("Predaj notebookov vzrastol", id); INSERT INTO texty VALUES ("Ako (jednoducho) na Windows Vista", id); INSERT INTO texty VALUES ("Programovanie v C++", id); INSERT INTO texty VALUES ("Instalovanie a odinstalovanie ovadacov na graficke karty", id); INSERT INTO texty VALUES ("Maximalna komprimacia", id); INSERT INTO texty VALUES ("Prevod suborov do MP3", id); INSERT INTO texty VALUES ("MP3 pre ...

Článok je uzamknutý

Pokračovanie článku patrí k prémiovému obsahu PC REVUE, ktorý je dostupný pre predplatiteľov. S digitálnym predplatným za 20 € na celý rok získate neobmedzený prístup k uzamknutému obsahu na webe. Objednať si ho môžete TU. Ak už máte digitálne predplatné PC REVUE prihláste sa TU. Ak máte digitálne predplatné Piano, prihláste sa pomocou Piano.


Prihlásiť pomocou členstva PC REVUE
 
Alebo sa prihláste cez službu Piano





Nechajte si posielať prehľad najdôležitejších správ emailom

Mohlo by Vás zaujímať

ITPro 1

Rozšírená realita pomôže školám

17.12.2016 00:05

Raz vidieť je lepšie ako stokrát počuť a v školstve to platí ešte mnohonásobne viac. Čo však v prípade, ak si študenti majú pozrieť, ako v reálnom čase pracuje jadrový reaktor? Alebo by chceli vidieť, ...

ITPro

Výzvy a perspektívy mobilných sietí

13.12.2016 11:52

Dostupnosť kvalitného mobilného pripojenia vrátane dostatočnej kapacity na prenos dát považujeme v súčasnosti za samozrejmosť.  O niektorých špecifikách a  perspektívach služieb mobilných operátorov v ...

ITPro

Programujeme pre Android 26 / Session Initiation protocol API

11.12.2016 00:00

Nie je žiadnym prekvapením, že Android API (od verzie 9) obsahuje podporu SIP protokolu a to vo forme automatizovaných služieb, pomocou ktorých manažuje prichádzajúce a odchádzajúce hovory. SIP spojen ...

Vyhľadávanie

qubitconference

Najnovšie videá