SQL - прежде чем ломать базы данных - часть 3
Всем привет! Поскольку в предыдущих частях я показывал примеры на одной таблице, то упустил очень важный оператор UNION, который будет постоянно использоваться в SQL-инъекциях. Поэтому встречайте часть 3 )
Читать: https://codeby.net/threads/sql-prezhde-chem-lomat-bazy-dannyx-chast-3.68648/
#sql #database
Всем привет! Поскольку в предыдущих частях я показывал примеры на одной таблице, то упустил очень важный оператор UNION, который будет постоянно использоваться в SQL-инъекциях. Поэтому встречайте часть 3 )
Читать: https://codeby.net/threads/sql-prezhde-chem-lomat-bazy-dannyx-chast-3.68648/
#sql #database
Тестируем ресурс с AngelSword
Создал софт Lucifer1993 - это мощная китайская школа пентеста. Несмотря на то,что Меч Ангела представляется в первую очередь, как сканер уязвимостей, звание framework ему более подходит. Только директория для тестирования различных cms выглядит внушительно,не считая остальных видов тестирования.
Читать: https://codeby.net/threads/testiruem-resurs-s-angelsword.67240/
#pentest #sql #xss
Создал софт Lucifer1993 - это мощная китайская школа пентеста. Несмотря на то,что Меч Ангела представляется в первую очередь, как сканер уязвимостей, звание framework ему более подходит. Только директория для тестирования различных cms выглядит внушительно,не считая остальных видов тестирования.
Читать: https://codeby.net/threads/testiruem-resurs-s-angelsword.67240/
#pentest #sql #xss
SQLMAP-обнаружение и эксплуатация SQL инъекции: детальное разъяснение (2 часть)
Шаг 4: Список столбцов в целевой таблице выбранной базы данных с использованием SQLMAP SQL инъекции: Теперь нам нужно перечислить все столбцы целевой таблицы userinfo базы данных clemcoindustries с помощью SQLMAP SQL инъекции. SQLMAP SQL инъекция упрощает выполнение следующей команды...
Читать: https://codeby.net/threads/sqlmap-obnaruzhenie-i-ehkspluatacija-sql-inekcii-detalnoe-razjasnenie-2-chast.65033/
#sqlmap #sql #injection
Шаг 4: Список столбцов в целевой таблице выбранной базы данных с использованием SQLMAP SQL инъекции: Теперь нам нужно перечислить все столбцы целевой таблицы userinfo базы данных clemcoindustries с помощью SQLMAP SQL инъекции. SQLMAP SQL инъекция упрощает выполнение следующей команды...
Читать: https://codeby.net/threads/sqlmap-obnaruzhenie-i-ehkspluatacija-sql-inekcii-detalnoe-razjasnenie-2-chast.65033/
#sqlmap #sql #injection
Out-of-band атаки
В этой статье я расскажу о понятии и концепции "Out-of-band" (на рус. «вне-диапазона») , а также о использовании на некоторых примерах. Хоть на первый взгляд это может показаться бессмысленным, но на самом деле, out-of-band хорошо демонстрирует общую концепцию. Давайте рассмотрим это шаг за шагом.
📌 Читать: https://codeby.net/threads/out-of-band-ataki.72641/
📝 Школа Кодебай |🍿Наш ютуб |👾 Наш дискорд
#sql #injection #xss
В этой статье я расскажу о понятии и концепции "Out-of-band" (на рус. «вне-диапазона») , а также о использовании на некоторых примерах. Хоть на первый взгляд это может показаться бессмысленным, но на самом деле, out-of-band хорошо демонстрирует общую концепцию. Давайте рассмотрим это шаг за шагом.
📌 Читать: https://codeby.net/threads/out-of-band-ataki.72641/
📝 Школа Кодебай |🍿Наш ютуб |👾 Наш дискорд
#sql #injection #xss
Автоматизация эксплуатации слепой инъекции при помощи Burp Suite
На написание этой статьи меня сподвигло обучение на курсах WAPT от Codeby. По условиям обучения не приветствуется использование любых сканеров уязвимостей или автоматических средств их эксплуатации. Поэтому при решении задач по SQL-инъекциям, где они были слепые, мне приходилось рассчитывать на программу Burp Suite и собственную зад...цу
📌 Читать статью: https://codeby.net/threads/avtomatizacija-ehkspluatacii-slepoj-inekcii-pri-pomoschi-burp-suite.79170/
📝 Школа Кодебай |🍿Наш ютуб |👾 Наш дискорд
#sql #injection #burp
На написание этой статьи меня сподвигло обучение на курсах WAPT от Codeby. По условиям обучения не приветствуется использование любых сканеров уязвимостей или автоматических средств их эксплуатации. Поэтому при решении задач по SQL-инъекциям, где они были слепые, мне приходилось рассчитывать на программу Burp Suite и собственную зад...цу
📌 Читать статью: https://codeby.net/threads/avtomatizacija-ehkspluatacii-slepoj-inekcii-pri-pomoschi-burp-suite.79170/
📝 Школа Кодебай |🍿Наш ютуб |👾 Наш дискорд
#sql #injection #burp
Отзыв на курс «SQL-injection Master»
Всех приветствую! Новогодние праздники подходят к концу, салаты съедены, напитки выпиты и появилось свободное время для написания отзыва о курсе.
📌 Читать статью: https://codeby.net/threads/otzyv-na-kurs-sql-injection-master.79229/
📝 Школа Кодебай |🍿Наш ютуб |👾 Наш дискорд
#feedback #sql
Всех приветствую! Новогодние праздники подходят к концу, салаты съедены, напитки выпиты и появилось свободное время для написания отзыва о курсе.
📌 Читать статью: https://codeby.net/threads/otzyv-na-kurs-sql-injection-master.79229/
📝 Школа Кодебай |🍿Наш ютуб |👾 Наш дискорд
#feedback #sql
Автоматизация эксплуатации слепой boolean-based SQL-инъекции при помощи WFUZZ
Недавно один человек мне задал вопрос: «А зачем нужен Burp Suite, если как фаззер он слабоват и тормознут и есть много других хороших инструментов, например, таких как wfuzz?» Я ответил, что если он сможет раскрутить при помощи того же wfuzz’а слепую sql-инъекцию, то это будет хороший материал для статьи. Потом я сам что-то заморочился этим вопросом и подумал: «А это вообще возможно»? И этот вопрос сподвиг меня на очередной творческий подвиг.
📌 Читать статью
#sql #injection #fuzzing
Недавно один человек мне задал вопрос: «А зачем нужен Burp Suite, если как фаззер он слабоват и тормознут и есть много других хороших инструментов, например, таких как wfuzz?» Я ответил, что если он сможет раскрутить при помощи того же wfuzz’а слепую sql-инъекцию, то это будет хороший материал для статьи. Потом я сам что-то заморочился этим вопросом и подумал: «А это вообще возможно»? И этот вопрос сподвиг меня на очередной творческий подвиг.
📌 Читать статью
#sql #injection #fuzzing
Out-of-band атаки
В этой статье я расскажу о понятии и концепции "Out-of-band" (на рус. «вне-диапазона») , а также о использовании на некоторых примерах. Хоть на первый взгляд это может показаться бессмысленным, но на самом деле, out-of-band хорошо демонстрирует общую концепцию. Давайте рассмотрим это шаг за шагом.
📌 Читать статью
#sql #xss #pentest
В этой статье я расскажу о понятии и концепции "Out-of-band" (на рус. «вне-диапазона») , а также о использовании на некоторых примерах. Хоть на первый взгляд это может показаться бессмысленным, но на самом деле, out-of-band хорошо демонстрирует общую концепцию. Давайте рассмотрим это шаг за шагом.
📌 Читать статью
#sql #xss #pentest
Расширение HackBar для Burp Suite и для браузеров
Доброго времени суток, уважаемые форумчане! Продолжаю писать статьи, которые смогут помочь тем, кто решил освоить курс WAPT от Академии Codeby. Сегодня мы рассмотрим очень полезный инструмент, который должен здорово помочь ученикам при прохождении курса. Он не относится к разряду средств автоматизации, а потому разрешен в процессе обучения и сдачи экзамена. Это HackBar. В сети можно найти достаточно материала по этому инструменту и очень сложно быть оригинальным в этом вопросе, поэтому я решил рассмотреть все его возможные вариации на нескольких практических примерах. Будем крутить union-based sql-инъекцию. Хотя инструмент способен помочь в эксплуатации различных уязвимостей, таких как XXE, XXS, LFI, RFI, а также поможет обходить фильтрацию, имеет встроенный кодировщик и ряд других функций. Короче, очень удобный инструмент для веб-пентеста. По сути, в него зашито большое количество пейлоадов на все случаи жизни, которые вы можете подставлять в уязвимые места. Это должно сэкономить массу времени и исключить возможные ошибки при наборе запросов.
📌 Читать далее
#pentest #web #sql
Доброго времени суток, уважаемые форумчане! Продолжаю писать статьи, которые смогут помочь тем, кто решил освоить курс WAPT от Академии Codeby. Сегодня мы рассмотрим очень полезный инструмент, который должен здорово помочь ученикам при прохождении курса. Он не относится к разряду средств автоматизации, а потому разрешен в процессе обучения и сдачи экзамена. Это HackBar. В сети можно найти достаточно материала по этому инструменту и очень сложно быть оригинальным в этом вопросе, поэтому я решил рассмотреть все его возможные вариации на нескольких практических примерах. Будем крутить union-based sql-инъекцию. Хотя инструмент способен помочь в эксплуатации различных уязвимостей, таких как XXE, XXS, LFI, RFI, а также поможет обходить фильтрацию, имеет встроенный кодировщик и ряд других функций. Короче, очень удобный инструмент для веб-пентеста. По сути, в него зашито большое количество пейлоадов на все случаи жизни, которые вы можете подставлять в уязвимые места. Это должно сэкономить массу времени и исключить возможные ошибки при наборе запросов.
📌 Читать далее
#pentest #web #sql
SQL-injection, начало - UNION BASED
Приветствую тебя читатель! Если ты новичок, и непременно хочешь разбираться в sql-инъекциях, то сначала проделай то, что написано в этой статье. А для чего вообще нужно ручное тестирование? Ведь есть куча программ во главе с sqlmap. Я так скажу - не все инъекции и не всегда могут раскрутить программы. В тоже время ручные тесты дадут максимальный шанс внедрить произвольный sql-код. Кроме того, даже если вы станете продвинутым пользователем sqlmap, то это лишь уровень скрипт-кидди, не понимающего что происходит на самом деле. Разумеется программы для того и придуманы, чтобы облегчить наш труд, но труд знающего человека, у которого не возникает вопросов по пейлоадам.
📌 Читать далее
#sql #injection
Приветствую тебя читатель! Если ты новичок, и непременно хочешь разбираться в sql-инъекциях, то сначала проделай то, что написано в этой статье. А для чего вообще нужно ручное тестирование? Ведь есть куча программ во главе с sqlmap. Я так скажу - не все инъекции и не всегда могут раскрутить программы. В тоже время ручные тесты дадут максимальный шанс внедрить произвольный sql-код. Кроме того, даже если вы станете продвинутым пользователем sqlmap, то это лишь уровень скрипт-кидди, не понимающего что происходит на самом деле. Разумеется программы для того и придуманы, чтобы облегчить наш труд, но труд знающего человека, у которого не возникает вопросов по пейлоадам.
📌 Читать далее
#sql #injection
SQL - прежде чем ломать базы данных - часть 2
Всем привет! В первой части были рассмотрены некоторые приёмы и операторы. Углубимся в тему. Рекомендуется обязательно всё проделать, что написано в обоих частях. Для начальной подготовки вполне хватит. Думаю в другой раз будет написано уже непосредственно "по боевой части" - будем наконец уже взламывать, а пока малость потренируйтесь "на кошках".
📌 Читать далее
#pentest #sql #injection
Всем привет! В первой части были рассмотрены некоторые приёмы и операторы. Углубимся в тему. Рекомендуется обязательно всё проделать, что написано в обоих частях. Для начальной подготовки вполне хватит. Думаю в другой раз будет написано уже непосредственно "по боевой части" - будем наконец уже взламывать, а пока малость потренируйтесь "на кошках".
📌 Читать далее
#pentest #sql #injection
SQL - прежде чем ломать базы данных - часть 3
Всем привет! Поскольку в предыдущих частях я показывал примеры на одной таблице, то упустил очень важный оператор UNION, который будет постоянно использоваться в SQL-инъекциях. Поэтому встречайте часть 3). А в следующей статье я вам расскажу об одном классном ресурсе, где есть возможность потренироваться на SQL-инъекциях, и разберёмся с первым, самым простым видом инъекции, который до сих пор весьма часто встречается.
📌 Читать далее
#beginner #sql #injection
Всем привет! Поскольку в предыдущих частях я показывал примеры на одной таблице, то упустил очень важный оператор UNION, который будет постоянно использоваться в SQL-инъекциях. Поэтому встречайте часть 3). А в следующей статье я вам расскажу об одном классном ресурсе, где есть возможность потренироваться на SQL-инъекциях, и разберёмся с первым, самым простым видом инъекции, который до сих пор весьма часто встречается.
📌 Читать далее
#beginner #sql #injection
SQL-injection, UNION BASED - Быстрые техники
Приветствую тебя читатель! Надеюсь ты уже решил базовые задачки из предыдущих статей. А сегодня я расскажу о более продвинутых техниках, позволяющих извлекать данные из баз гораздо быстрее. Данный подход называется DIOS(DUMP IN ONE SHOOT). В прошлый раз определить что в таблице 4 столбца получилось только за 4 запроса. При большем количестве столбцов и подавно запросов будет больше. Но есть способ, который работает в большинстве случаев, с помощью которого можно узнать количество колонок всего лишь отправив 1 запрос.
📌 Читать далее
#beginner #sql #injection
Приветствую тебя читатель! Надеюсь ты уже решил базовые задачки из предыдущих статей. А сегодня я расскажу о более продвинутых техниках, позволяющих извлекать данные из баз гораздо быстрее. Данный подход называется DIOS(DUMP IN ONE SHOOT). В прошлый раз определить что в таблице 4 столбца получилось только за 4 запроса. При большем количестве столбцов и подавно запросов будет больше. Но есть способ, который работает в большинстве случаев, с помощью которого можно узнать количество колонок всего лишь отправив 1 запрос.
📌 Читать далее
#beginner #sql #injection
