نویسنده: fema co
31 می 2021
0 133
تزریق اطلاعات توسط SqlInjection

تزریق اطلاعات توسط SqlInjection

در مقالات قبلی در مورد تزریق اطلاعات توسط SqlInjection مقالات و مطالبی را منتشر کردیم , که در این مقاله به مثالهای آن میپردازیم.

 

جلوگیری از حملات sqlinjection

در مقاله جلوگیری از حملات sql injection به مواردی اشاره کردیم که داده ها و ارسال و دریافت اطلاعات از طریق کد به دیتابیس را امن میکردیم, به گونه ای که مقادیر تزریق شده را به صورت رشته ای و عددی در دیتابیس ذخیره میکرد.

بعد از مطالعه این مقاله به مثالی که در همین ضمینه برای شما آماده کردیم دقت کنید.

تزریق اطلاعات توسط SqlInjection

تزریق اطلاعات توسط SqlInjection

تزریق اطلاعات توسط SqlInjection

تزریق داده یا اطلاعات در این روش را به گونه های مختلف میتوان انجام داد و این ویدیو مثالی است برای درک بهتر این موضوع تا امنیت را جدی بگیرید و در ارتباطات ایمن کوشا باشد.

دیدگاه های اشتباهی وجود دارد در بین خیلی از مدیران سرور  که تا زمانی که باگ و خروج یا استخراج اطلاعاتی صورت نگیرد موضوع امنیت را جدی نمیگیرند , بنده بارها و بارها با مواردی روبرو بودم که مدیر های سایت های مختلف با اینکه از باگ خود آگاه بودند ولی به رمزنگاری رمز عبور اکتفا کرده بودند و در این مثال ویدیویی به آنها نشان میدهم که استراخ داده زمانی که صورت گرفت به هماه سادگی آپدیت داده به مقادری دلخواه هم آسان است. به همان اندازه رخنه میتواند برای همگان آسیب پذیر باشد.

 

واژه امنیت

بصورت کلی امنیت دارای ویژگی های زیادی است که اگر شما هم ۱۰۰ درصد امن و ایمن باشید باز ممکن است مواردی شامل حال شما شود که اصلا ارتباطی به شما نداشته است .

فرض کنید شما در یک هاست اشتراکی خرید هاست انجام دادید و بین ۱۵۰ عدد سایت سایت شما شماره ۱۵۱ است به هر دلیلی اگر یکی از این ۱۵۰ عدد سایت باگ مثل این مقاله را داشته باشد سایت شما نیز در خطر است.

رخنه به سرور یا باگ در سرور بقدری ساده بایپس میشود که بر فرض از درایو c هارد سیستم شخصتان قرار است به فولدر ایکس در درایو d دسترسی داشته باشید.

دقیقا در هاست های اشتراکی نیز به همین گونه است در یک فولدر که برای خدمت رسانی کانفیگ شده فولدر ها حک یک سایت را دارند مثل:

home/admin/public_html
home/famaserver/public_html
home/famaict/public_html
home/bking/public_html

 

هر کدام از این آدرسها ممکن است یک یا چند ده سایت را میزبانی کنند که تنها با زدن یک دستور cd …. امکان جابجایی به پوشه های مختلف را دارا میباشید.

البته به همین راحتی هم نمیباشد ولی دور زدن محدودتها امکانپذیر هست.

تزریق اطلاعات توسط SqlInjection

تزریق اطلاعات توسط SqlInjection

حملات sql injection

در این ویدیو مشاهده میکنید که سایت آسیب پذیر را براحتی میتوان تشخیص داد و مراحل زیر روند اجرایی است که انجام شد.

۱- پیدا کردن آسیبپذیری سایت.

۲- پیدا کردن تعداد کلومن های آسیب پذیر.( این موارد مواردی هستند که در رد و بدل شدن اطلاعات از کد به دیتابیس محدودیتی انجام نشده است و براحتی در دسترس قرار میگیرد.)

۳- نمایش داده کلومن های یا سطر های آسیب پذیر.

۴- اتصال به جدول پیشفرض information_schema و استخراج نام جدول اصلی که سایت به آن متصل است.

۵- استخراج نام کاربری و رمز عبور از جدول استخراج شده در مرحله ۴٫

۶- نمایش نام کاربری و رمز عبور و …

 

این ۶ مرحله میتواند ۰ تا ۱۰۰ اتمام کار یک مجموعه , یک سایت , یک شرکت , یا .. باشد تا زمانی که امنیت جدی گرفته نشود و پیشنهاد میکنیم برای امنیت کامل از روشهای نوین ارایه شده برای امن نگه داشتن اطلاعات استفاده کنید.

در ویدیو های بعدی مشکلات بیشتری رو بنمایش میگذاریم که آسیبپذیریهای خیلی مهمی را شامل میشود.

 

پیشنهاد ما برای ایمنی بیشتر استفاده از سرور مجازی بجای هاست اشتراکی است که البته این موضوع هم دارای پیش نیازهای خاصی میباشد که در فاما سرور میتوانید تا حد قابل توجهی این موارد را بشما آموزش دهیم.

 

اشتراک گذاری

مقالات مرتبط این مطلب پیشنهاد می شود

خدمات فاما سرور

  • سرور مجازی

    سرور مجازی

    سرور مجازی یکی از سرویس های پر استفاده و مقرون بصرفه برای کسب و کارهای کوچک و خدمات سایر در ضمینه IT و شبکه میباشد که توان پشتیبانی از 128 هسته و 512 گیگ رم را دارد.

  • سرور اختصاصی

    سرور اختصاصی

    سرور های اختصاصی فاماسرور از دو گروه نسل جدید و پردازش سنگین استفاده میشود که میتوانید تا 155 گیگاهرتز پردازش و تا 1.5 ترابایت رم را در اختیار داشته باشید.

  • بیگ بلوباتن

    بیگ بلوباتن

    سرور بیگ بلوباتن اختصاصی و مجازی یکی از خدمات , برای استفاده از کلاس های آموزشی , جلسات و ... بصورت دوطرفه و با کیفیت تضمین شده میباشد.

  • هاست لینوکس

    هاست لینوکس

    در هاست لینوکس با منابع گوناگون امکان میزبانی از سایت های بزرگ و پر بازدید نیز وجود دارد و میتوان از مزایا و خدمات آن استفاده کرد.

  • هاست دانلود

    هاست دانلود

    هاست های دانلود فاماسرور میزبانی شده در دیتاسنتر های لول 1 ایران میباشد که با سخت افزار ها و استوریج های نسل جدید میزبانی و پشتیبانی میشوند.

  • ثبت دامنه

    ثبت دامنه

    ثبت دامنه های بین المللی , دامنه ir و دامنه های با پسوند های مختلف در فاماسرور پشتیبانی میشوند.