1. المٌقدمة الأولي :دورة إختبار ثغرات حقن قواعد البيانات SQLI الإحترافية لعام 2017 عام 2018
    تٌعد ثغرات حقن قواعد البينات الثغرة رقم واحد فى العالم والمصنفة تحت بند الإخطر
    والفريق التابع له بإختراق أكبر المواقع الصهيونية قرائة الموضوع
  2. المٌقدمة الثانية : دورة إختبار ثغرات حقن قواعد البيانات SQLI الإحترافية لعام 2017 عام 2018
    في هذه المٌثقدمة الثانية والأخيرة سوف نتعرف على قواعد علم حقن قواعد البيانات
    حتى يتثنى لنا علم يٌساعدنا على القيام بعمليات الحقن بالطرق الصحيحه قرائة الموضوع
  3. دورة كشف دمج والتلغيم حصريا على أرض عراق تيم(2017)
    بعد ماقمت بعمل دورة الكشف دمج والتلغيم وستكملت الدوره وتحتوي على 12 درس
    كانت دروس حصريا على عراق تيم وشرح واضح جدا ومفهوم الى المبتدأ والى المبدع قرائة الموضوع

شرح نظري لثغرة أختراق المواقع sql؟

الموضوع في 'آمن المواقع والسيرفرات' بواسطة AsSad HOmS, بتاريخ ‏26 مارس 2014.

كاتب الموضوع : AsSad HOmS المشاهدات : 427 الردود : 3 ‏26 مارس 2014
حالة الموضوع:
مغلق
  1. غير متصل

    AsSad HOmS
    rank
    V • I • P

    عضو منذ:
    ‏15 مارس 2014
    عدد المشاركات:
    الإعجابات المتلقاة:
    5
    نقاط الجائزة:

    بسم الله الرحمن الرحيم
    الحمد الله رب العالمين

    اليوم الدرس راح يكون شرح لثغرة sql نظري ؟


    ماذا يقصد sql?
    SQL هي اختصار لعبارة Structured Query Language وهي لغة قياسية خاصة للحصول على المعلومات من قواعد البيانات المختلفة وإدارتها وإجراء جميع العمليات?

    --------------------------------
    ماهي ثغرة SQL?
    في البداية لنتعرف ماذا يقصد بالـ (Sql Injection) وهو عبارة عن حقن كود معين في مدخلات تطبيق الويب على مستوى قاعدة البيانات ليتم الحصول على معلومات غير مصرح للحصول عليها أو التلاعب بمحتويات قاعدة البيانات.

    ثغرة الـ Sql Injection تتم بشكل أساسي على جمل لغة sql والتي تستخدم للتعامل مع جميع قواعد البيانات كلها كجمل SELECT , UPDATE , DELETE مثال على ذلك:

    select * from users;
    -------------------------------
    تعد ثغرات SQL Injection من أخطر الثغرات المعرضة لها تطبيقات الويب بالوقت الحالي. هذا المقال هو تعريف بأداة Sqlninja التي تهدف لمساعدة الـ Penetration Tester في استغلال ثغرات SQL Injection في المواقع التي تستعمل Microsoft SQL Server مما يمكنهم بالنهاية من اختراق السيرفر المصاب عن بعد والحصول على تحكم كامل به.

    --------------------------------
    يمكننا من هذه الثغرة معرفة :
    عرض البيانات :-

    من الأهداف الرئيسية للsql injection عرض بيانات من داخل قواعد البيانات مثل عرض محتويات جدول ال users مثلا

    و يتم هذا عبر حقن جملة select فى جملة select أخرى عن طريق Union
    مثلاً
    كود HTML:
    Select * From `news` WHERE `news_id` = ‘.$_GET['id']
    فإذا قمنا بإدخال كالآتي
    كود HTML:
    site.com/news.php?id=1 union select 1,2,3 from users;
    سيكون شكل جملة sql كالتالي
    كود HTML:
    Select * From `news` WHERE `news_id` = 1 union select 1,2,3 from `users`;
    هناك عدة تحديات تواجه المخترق فى ال sql injection أقواهم هو أسماء الجداول و الحقول و هو ما يمكن تخمينه فى البداية بعدة طرق فى حالة أن مدير الموقع يتيح للبرنامج إظهار الأخطاء أو فى حالة عدم ظهور الأخطاء مما يؤدي بنا إلى blind sql injection ( سيتم شرح هذه التقطة بالتفصيل فيما بعد )
    سيتم شرحها بشكل عملي وطرق تخطيها
    ------------------------------
    3- التلاعب بالبيانات :-

    أحد أخطر الأشياء التى يمكن فعلها بال sql injection هي التلاعب بالبيانات سواء عن طريق insert أو Update أو Delete أو حتى Dro
    ------------------------------
    فن المعرفة فى sql injection :-

    ال sql injection يعتمد على المعرفة بدرجة أولى من أول نوع و إصدار قاعدة البيانات ( نوع قاعدة البيانات يفيدك من حيث ال syntax فهي تختلف من نوع قاعدة بيانات و أخرى و إصدارها يفيد فى معرفة إذا كان هذا الإصدار مصاب بثغرة معينة مثل ثغرة mysql_real_escape_string فى mysql ) و أسماء الجداول و الحقول

    و تنقسم المعرفة فى sql injection إلى نوعين النوع العادي – حيث أن مدير الموقع يتيح إظهار الأخطاء – و blind sql injection
    -----------------------------



    بالتوفيق
     


    جاري تحميل الصفحة...
  2. غير متصل

    sulavany
    rank
    Developer

    عضو منذ:
    ‏25 مارس 2014
    عدد المشاركات:
    الإعجابات المتلقاة:
    0
    نقاط الجائزة:

    رد: شرح نظري لثغرة أختراق المواقع sql؟

    بارك الله فيك اخي
    درس جميل .
     


  3. غير متصل

    Sofien Ouenn's <span style="font-weight: bold; text-shadow: #BBBB
    rankrank
    V • I • P

    عضو منذ:
    ‏25 مارس 2014
    عدد المشاركات:
    الإعجابات المتلقاة:
    2
    نقاط الجائزة:

    رد: شرح نظري لثغرة أختراق المواقع sql؟

    شكرا لك في إنتضار شروحات أخرى #ٌnًo.
     


  4. غير متصل

    Legend_Killer
    rankrank
    Developer

    عضو منذ:
    ‏6 ابريل 2012
    عدد المشاركات:
    الإعجابات المتلقاة:
    5
    نقاط الجائزة:
    الوظيفة:
    طَالب..~
    الإقامة:

    رد: شرح نظري لثغرة أختراق المواقع sql؟

    الله يحفظك ياغالي
    !:"
     


حالة الموضوع:
مغلق

مشاركة هذه الصفحة

جاري تحميل الصفحة...