الأربعاء، 9 يوليو، 2014

دورة الامن المعلوماتي الدرس التاسع إستغلال ثغرات الحقن SQLi-الجزء الثاني

تعرفنا و بشكل جيد جدا عن ثغرات حقن قواعد البيانات،و لكن كان ذلك بشكل نظري،فقد عرفنا كيف يتم اكتشاف هذا النوع من الثغرات،و كيف يتم تحليل الثغرة من أجل استغلالها و ترقيعها فيما بعد،و لكن الكثير لم يعرف ﻻ كيف يجدها و ﻻ مكانها.
من الخطأ ان نعتقد أن ثغرات حقن قواعد البيانات يتم إيجادها فقط عن طريق إضافة بعض الرموز إلى الرابط،فهذا مثال فقط،و لكن في الحقيقة،من الممكن إيجاد ثغرات حقن قواعد البيانات في أي مكان ما دام هنالك تعامل مع قاعدة البيانات،و بالتالي من الممكن جدا أن نجد ثغرة حقن في محرك بحث موقع مثلا ما دام هذا الموقع يستند في عمله لقاعدة بيانات.
فأمر البحث ما هو إﻻ أمر SQL يقضي بالبحث في قاعدة البيانات،سواء في قاعدة البيانات ككل أو في جدول محدد منها،و بالتالي إن لم تكن هنالك حماية للامر،فمن الممكن جدا أن تكون هنالك ثغرة حقن في الموقع و بالتحديد في محرك البحث الخاص به.

0 التعليقات:

إرسال تعليق

لا تنسى ان تشارك samir soltani بتعليقك
او نشر الموظوع جزاك الله خيرا