mostafaxman
03-17-2009, 01:28 PM
السلام عليكم ورحمة الله وبركاته
درس اليوم وبعون الله شرح لغه الاستعلام البنيوية , او بلانجليزيه : SQL INJECTION
دائما الاسماء عندما تكون بلاجنبي يتم حفضها بسرعه http://traidnt.net/vb/images/smilies/bleh.gif
===============================
حقن قواعد الاستعلام البنيوية هي احدى الطرق لاكتشاف اي ثغره امنيه قد تتواجد بقواعد البيانات التابع لاي برنامج .
مثال : سكربت جوملا : Joomla
برنامج يحتوي على قواعد بيانات , وبذالك بلامكان حقن قواعد البيانات , < كان ذالك فقط مثال .
نكمل http://traidnt.net/vb/images/smilies/cupidarrow.gif
تتكون هذة الثغره عندما لايتم تصفيه مدخلات المستخدم من الرموز الخاصة التي يتم ادراجها داخل جمل بصيغه لغة الاستعلام البنيويه , والتي تؤدي الى التلاعب بقواعد البيانات ( لغه الاستعلام البنيوية ) .
سوف اشرح لكم مثال لهذه الثغره الخطيره , والتي يضن البعض بان مثل هذه الثغرات لاتتواجد بشكل كبير , بل يضعو انضارهم على ثغرات اخرى ..
[
CODE]SELECT * FROM users WHERE name = ' + TRAIDNT + ';[/code]
هذه الجملة : TRAIDNT , سوف تستدعي جميع السجلات الخاصه باسم TRAIDNT من سجل user .: او : اعضاء .
ولكن عندما يتم تغيير اسم المستخدم وهو كان TRAIDNT بشكل خاص ومعين , وخاصا باستخدام الدالة التاليه :
'
فابمكان الهكر ان يغير المتغير : TRADINT الى متغير اخر . مثال . :
a' or 't'='t
فسينتج لدينا :
SELECT * FROM users WHERE name = 'a' OR 't'='t';
اذا استطاع المخترق ان يستخدم هاذا المتغير او الجملة المذكوره اعلاه , فبالمكان استعمالها للحصول على تصريح , ( تصريح المدير العام مثلا ! )
لان الدالة
't'='t'
هي دائما لها صلاحيات TRUE على مااعتقد [color="red"]؟ [/
COLOR]
اعذروني , مو كلش جيد بلبرمجهhttp://traidnt.net/vb/images/smilies/icon26.gif
عملت بجهدي , فارجو من الاعضاء وزوار معهد ترايدنت , وخصوصا المبرمجين العرب ان ياخذو هاذا الموضوع على محمل الجد ! لان لغة الاستعلام البنيوية خطره جدااا !.
الكاتب / عراقي هكر .. 08
في أمان الله
درس اليوم وبعون الله شرح لغه الاستعلام البنيوية , او بلانجليزيه : SQL INJECTION
دائما الاسماء عندما تكون بلاجنبي يتم حفضها بسرعه http://traidnt.net/vb/images/smilies/bleh.gif
===============================
حقن قواعد الاستعلام البنيوية هي احدى الطرق لاكتشاف اي ثغره امنيه قد تتواجد بقواعد البيانات التابع لاي برنامج .
مثال : سكربت جوملا : Joomla
برنامج يحتوي على قواعد بيانات , وبذالك بلامكان حقن قواعد البيانات , < كان ذالك فقط مثال .
نكمل http://traidnt.net/vb/images/smilies/cupidarrow.gif
تتكون هذة الثغره عندما لايتم تصفيه مدخلات المستخدم من الرموز الخاصة التي يتم ادراجها داخل جمل بصيغه لغة الاستعلام البنيويه , والتي تؤدي الى التلاعب بقواعد البيانات ( لغه الاستعلام البنيوية ) .
سوف اشرح لكم مثال لهذه الثغره الخطيره , والتي يضن البعض بان مثل هذه الثغرات لاتتواجد بشكل كبير , بل يضعو انضارهم على ثغرات اخرى ..
[
CODE]SELECT * FROM users WHERE name = ' + TRAIDNT + ';[/code]
هذه الجملة : TRAIDNT , سوف تستدعي جميع السجلات الخاصه باسم TRAIDNT من سجل user .: او : اعضاء .
ولكن عندما يتم تغيير اسم المستخدم وهو كان TRAIDNT بشكل خاص ومعين , وخاصا باستخدام الدالة التاليه :
'
فابمكان الهكر ان يغير المتغير : TRADINT الى متغير اخر . مثال . :
a' or 't'='t
فسينتج لدينا :
SELECT * FROM users WHERE name = 'a' OR 't'='t';
اذا استطاع المخترق ان يستخدم هاذا المتغير او الجملة المذكوره اعلاه , فبالمكان استعمالها للحصول على تصريح , ( تصريح المدير العام مثلا ! )
لان الدالة
't'='t'
هي دائما لها صلاحيات TRUE على مااعتقد [color="red"]؟ [/
COLOR]
اعذروني , مو كلش جيد بلبرمجهhttp://traidnt.net/vb/images/smilies/icon26.gif
عملت بجهدي , فارجو من الاعضاء وزوار معهد ترايدنت , وخصوصا المبرمجين العرب ان ياخذو هاذا الموضوع على محمل الجد ! لان لغة الاستعلام البنيوية خطره جدااا !.
الكاتب / عراقي هكر .. 08
في أمان الله