SQL Injection

1. X-GROUPS TEAM
2.  
3. Tôi là thành viên đội X-GROUPS
4.  
5. Xin chào tất cả lại với nhau ngày hôm nay tôi muốn cho bạn thấy thế nào để tấn công trang web hoặc máy chủ web bằng cách sử dụng Công cụ SQL Injection (Havij)
6.  
7.  
8. ====================================================================================================================================================================================================================================================================================================================================================================
9. Google dorks là gì?
10. Tôi gọi họ là 'googledorks': người lạc lõng hay dại dột như tiết lộ của Google. Dù bạn gọi những kẻ ngu, bạn đã tìm thấy trung tâm của Hacking Google.
11. Tôi cần phải xem một trang web tôi đang thử nghiệm là dễ bị tổn thương cho bất kỳ của nhiều dorks Google mà có sẵn tại các trang web như thế này và điều này.
12.  
13. ====================================================================================================================================================================================================================================================================================================================================================================
14.  
15. Theo một cuộc khảo sát kỹ thuật phổ biến nhất của hack một website là SQL Injection. SQL Injection là một kỹ thuật trong đó các hacker chèn mã SQL vào web diễn đàn để có được thông tin nhạy cảm như (User Name, mật khẩu) để truy cập vào trang web và làm hư nó.
16. Các phương pháp SQL injection truyền thống là khá khó khăn, nhưng bây giờ một ngày có rất nhiều công cụ có sẵn trực tuyến thông qua đó bất kỳ script kiddie có thể sử dụng SQL Injection từ đó thay đổi một webite, bởi vì các công cụ trang web đã trở nên dễ bị tổn thương hơn đối với các loại tấn công.
17. Một trong những công cụ phổ biến là Havij, Havij là một công cụ SQL injection tiên tiến mà làm cho SQL Injection rất dễ dàng cho bạn, Cùng với SQL injection nó đã được xây dựng trong công cụ tìm trang admin mà làm cho nó rất hiệu quả.
18.  
19.  
20. ===================================================================================================================================================================================================================================================================================================================================================================
21.  
22. >> Cơ sở dữ liệu được hỗ trợ với Havij <<
23.  
24. MSSQL 2000/2005 với lỗi.
25.  
26. MSSQL 2000/2005 không có công đoàn lỗi dựa
27.  
28. MySQL đoàn dựa
29.  
30. MySQL Blind
31.  
32. Dựa lỗi MySQL
33.  
34. Hiện MySQL dựa
35.  
36. Oracle công đoàn dựa
37.  
38. MsAccess đoàn dựa
39.  
40. Sybase (ASE)
41.  
42. ========================================================================================================================================================================================================================================================================================================================================================================
43. Lưu ý: Nếu bạn muốn mở nó không bấm mở nó sẽ báo lỗi nhưng bạn có thể nhấp (Run as Quản trị viên) nếu bạn có thể đi Properties và nhấn Compatibility (Havij Pro v1.16 Portable) và sau đó bấm Chạy chương trình này như một adminstator
44. ========================================================================================================================================================================================================================================================================================================================================================================
45.  
46. Làm thế nào để sử dụng trang web Havij tấn công
47.  
48.  
49. Bây giờ tôi sẽ chỉ cho bạn từng bước quá trình SQL injection.
50.  
51. Bước 1: Tìm Vulnerability SQL injection trong trang web du lịch và chèn chuỗi (như http://www.target.com/index.asp?id=1).
52.  
53. Bước 2: Bây giờ bấm vào nút Analyse.
54.  
55. Bây giờ nếu máy chủ của bạn là dễ bị tổn thương các thông tin về các mục tiêu sẽ xuất hiện và các cột.
56.  
57. Bước 3: Bây giờ bấm vào nút Tables và sau đó nhấp vào nút Get Tables từ bên dưới cột.
58.  
59. Bước 4: Bây giờ chọn các table với các thông tin nhạy cảm và nhấn Get Cột button.After đó chọn vào Username và Password Cột để có được vào Username và Password và bấm vào nút Get Table.
60.  
61.  
62. Dưới đây là một số các biện pháp đối phó, bạn có thể làm để giảm nguy cơ SQL Injection
63.  
64. 1.Renaming trang quản trị sẽ gây khó khăn cho một hacker để xác định vị trí nó
65.  
66. 2.Sử dụng một hệ thống phát hiện xâm nhập và soạn chữ ký cho các chuỗi SQL injection phổ biến
67.  
68. 3. Một trong những phương pháp tốt nhất để bảo vệ trang web của bạn chống lại các cuộc tấn công SQL Injection là để không cho phép ký tự đặc biệt trong các hình thức quản trị, mặc dù điều này sẽ làm cho mật khẩu của bạn dễ bị tấn công bruteforce nhưng bạn có thể thực hiện một capcha để ngăn chặn các kiểu tấn công.