SQL для новичка.
Пользователи, просматривающие топик: none
|
Зашли как: Guest
|
Имя  |
| Сообщение |
<< Старые топики Новые топики >> |
|
|
SQL для новичка. - 2010-02-02 18:56:56.133333
|
|
|
DreamDealer
Сообщений: 5
Оценки: 0
Присоединился: 2009-05-26 23:10:57.813333
|
Давно пытался разобраться в таком методе взлома как SQL Injection, да вот сводилось все это к простому копи пасту из очередного туториала. Хочется понимать что ты пишешь и делаешь, так что вот собственно вопрос: Какие книжки/сайты(кроме обычных тутариалов) лучше почитать/посмотреть? Ну например о определенном языке программирования, итп, так как часто такое бывает что после просмотра определенного ролика, повторить то можно, но вот разобраться не получается….
|
|
|
|
|
RE: SQL для новичка. - 2010-02-02 19:27:57.156666
|
|
|
tеstеr
Сообщений: 377
Оценки: -46
Присоединился: 2008-02-08 17:56:40.563333
|
Посмотри проект WebGoat и ролики к нему.
В качестве документации с подробными комментариями загляни на сайт проекта OWASP.
Был недавно выпуск журнала, на диске которого были и другие тестовые сайты для начинающих.
http://dvd.xakep.ru/2009-09
там были
Площадка для взлома:
Damn Vulnerable Web App 1.0.4 – веб-приложение, написанное на PHP/MySQL, для отработки таких атак, как SQL Injection, Cross Site Scripting, локального и удаленного include’а, брутфорса и т.д.
Moth 0.6 – образ системы для запуска под VMware с набором уязвимых веб-приложений и скриптов, на которых ты можешь потренироваться взлому сам, а также протестировать инструменты для автоматического пентеста
Mutillidae 1.2 – площадка для освоения навыков пентеста PHP-приложений, в котором разработчик предлагает найти и использовать десять различных типов уязвимостей
Stanford SecuriBench .91 – набор приложений, в которых разработчиками намеренно оставлены возможности для SQL injection, Cross-site scripting, атак HTTP splitting и Path traversal
WebGoat 5.2 – непростительно дырявое веб-приложение, написанное на J2EE, для тренировки по удаленного проникновению в систему
Вся суть в двух вещах.
В серверных сценариях некоторые глупые разработчики используют динамическое формирование SQL-запросов, не проверяя сцепляемые строки, тогда как нужно использовать параметризированные запросы либо тщательно фльтровать входные данные.
Т.о.
1. Отказываемся от динамического формирования SQL-запросов.
2. Проверяем все входные данные перед их использованием.
И опасность SQL-инекций снижается.
Задача тестировщика/хакера не зная исходного кода сценария, обнаружить динамически формируемый запрос и передать такие параметры странице, чтобы осуществить инъекцию.
|
|
|
|
|
RE: SQL для новичка. - 2010-02-02 20:04:46.843333
|
|
|
FriLL
Сообщений: 2539
Оценки: 335
Присоединился: 2007-08-11 17:14:26.703333
|
Изучи PHP, сразу прошариш все
|
|
|
|
|
RE: SQL для новичка. - 2010-02-02 21:19:07.853333
|
|
|
Sрam
Сообщений: 2863
Оценки: 372
Присоединился: 2009-01-16 15:23:43.276666
|
Изучи Мускул и почитай книжку "PHP практика создания web-сайтов ", Автор Кузницов там посвящен раздел иньектам и xss
|
|
|
|
|
RE: SQL для новичка. - 2010-02-11 12:33:58.040000
|
|
|
maulder
Сообщений: 9
Оценки: 0
Присоединился: 2008-02-26 11:15:53.316666
|
еще есть хороший сайт sql.ru, там тоже не плохо про SQL написано.
|
|
|
|
|
|
