6- laboratoriya ishi sql ineksiya Ishdan maqsad


sqlinj/index1.php?user=hacker'%20--%20 blablabla



Download 92,9 Kb.
bet6/6
Sana24.06.2021
Hajmi92,9 Kb.
#100009
1   2   3   4   5   6
Bog'liq
6-lab. MBX (1)

sqlinj/index1.php?user=hacker'%20--%20 blablabla

4. UNION buyrug‘idan foydalanish orqali maydonlar sonini bilish mumkin.



sqlinj/index1.php?id=1 UNION SELECT 1,2

xatolik


sqlinj/index1.php?id=1 UNION SELECT 1,2,3

xatolik yuq demak ustunlar soni 3 ga teng.

5. GROUP BY dan foydalangan holda ustunlar sonini aniqlash.

sqlinj/index1.php?id=1 GROUP BY 2

Amaliy qism


  1. Mantiqiy “ko‘r” ineksiyani yaratish. Buning uchun Owaspweb Goat simulyatoridan foydalaniladi.

Dastlab siqilgan faylni oching

–Run webgoat.bat (or webgoat_8080.bat)

–http://localhost/WebGoat/attack

–Id = guest

–pw = guest

Vazifa

// first_name kattalining uzunligi 6 ga teng

// birinchi harfi ‘J’ ga teng

101 and ((select ascii(substr(first_name,1,1)) from user_data where userid = 15613) >= 74) and ((select ascii(substr(first_name,1,1)) from user_data where userid = 15613) <= 74)

YUqoridagi so‘rovdan foydalanib, 15613 raqamli foydalanuvchini first_name ni toping.



  1. Qatorli SQL ineksiya. Bu vazifa uchun ham Owaspweb Goat simulyatoriidan foydalaniladi.

–Run webgoat.bat (or webgoat_8080.bat)

–http://localhost/WebGoat/attack

–Id = guest

–pw = guest



  • Tamper Data” plagini Mozilla Firefox uchun o‘rnatiladi va “Tools” menyusi orqali sinab ko‘riladi.

  • SHundan so‘ng “Injection flaws””Lab: SQL injection””Stage 1:String SQL Injection” tanlanadi.

  • Bu sahifadan vazani aniqlang va Mozilla Firefox ning “Tools” menyusidan “Tamper Data” bandini tanlab “Start Tamper”tugmasini bosing.

  • webgoat muhitidan “Neville Bartholomew (admin)” login sifatida tanlab, parol bandigi ochiq qoldirib Login tugmasini bosing. Quyidagi oyna ko‘rinadi.



6.1 – rasm. Tamper Data oynasi

  • Bu oynadan siz parol sohasi bo‘shligini ko‘rishingiz mumkin va bu erda SQL ineksiyaga olib keluvchi kodni kiriting.

  • Tahdidni amalga oshirish orqali ('Neville') qayd yozuviga to‘g‘ri parolni bilmasdan kirib ko‘ring.

  • Foydalangan SQL – so‘rovni hisobotga qayd eting.

  • Topshiriq

  • Hozirgi mavjud SQL in’eksiya xujumlaridan birini qo‘llab undan ximoyalashni ko‘rsatish va nazorat savollariga javob yozish.

Nazorat savollari

  1. SQL ineksiya nima va uning turlari.

  2. Qanday qilib bu tahdiddan himoyalanish mumkin.

  3. Bu turdagi tahddilar jiddiymi.

Download 92,9 Kb.

Do'stlaringiz bilan baham:
1   2   3   4   5   6



Ma'lumotlar bazasi mualliflik huquqi bilan himoyalangan ©www.hozir.org 2024
ma'muriyatiga murojaat qiling
kiriting | ro'yxatdan o'tish
    Bosh sahifa
юртда тантана
Боғда битган
Бугун юртда
Эшитганлар жилманглар
Эшитмадим деманглар
битган бодомлар
Yangiariq tumani
qitish marakazi
Raqamli texnologiyalar
ilishida muhokamadan
tasdiqqa tavsiya
tavsiya etilgan
iqtisodiyot kafedrasi
steiermarkischen landesregierung
asarlaringizni yuboring
o'zingizning asarlaringizni
Iltimos faqat
faqat o'zingizning
steierm rkischen
landesregierung fachabteilung
rkischen landesregierung
hamshira loyihasi
loyihasi mavsum
faolyatining oqibatlari
asosiy adabiyotlar
fakulteti ahborot
ahborot havfsizligi
havfsizligi kafedrasi
fanidan bo’yicha
fakulteti iqtisodiyot
boshqaruv fakulteti
chiqarishda boshqaruv
ishlab chiqarishda
iqtisodiyot fakultet
multiservis tarmoqlari
fanidan asosiy
Uzbek fanidan
mavzulari potok
asosidagi multiservis
'aliyyil a'ziym
billahil 'aliyyil
illaa billahil
quvvata illaa
falah' deganida
Kompyuter savodxonligi
bo’yicha mustaqil
'alal falah'
Hayya 'alal
'alas soloh
Hayya 'alas
mavsum boyicha

yuklab olish