Историческая вирусология: Червь рекордсмен или как ошибка исследователей привела к тотальному параличу - SQL Slammer: хронология, история, анализ
Время идет - и это правда. Возможно даже пугающая. Но технологии развиваются ещё быстрее, это не касается глубинки нашего сегодняшнего героя. Для контраста, возьмем последние 40 лет, в 1980 году был выпущен первый компьютер общего пользования и был он исключительной роскошью. Виндоус как системы тогда и вовсе не существовало, а сейчас же, только родившись, у тебя уже есть вариант иметь даже несколько устройств. И этот прогресс неизбежно несет в себе угрозы, ведь чем больше возможностей и решений - тем больше человек будет изобретать проблем на свою бедную голову. Таков уж принцип, а о проблемах современного IT поговорим и мы. Добро пожаловать в историю.
📌 Читать далее
#history #sql
Время идет - и это правда. Возможно даже пугающая. Но технологии развиваются ещё быстрее, это не касается глубинки нашего сегодняшнего героя. Для контраста, возьмем последние 40 лет, в 1980 году был выпущен первый компьютер общего пользования и был он исключительной роскошью. Виндоус как системы тогда и вовсе не существовало, а сейчас же, только родившись, у тебя уже есть вариант иметь даже несколько устройств. И этот прогресс неизбежно несет в себе угрозы, ведь чем больше возможностей и решений - тем больше человек будет изобретать проблем на свою бедную голову. Таков уж принцип, а о проблемах современного IT поговорим и мы. Добро пожаловать в историю.
📌 Читать далее
#history #sql
SQL-injection, Error Based - XPATH
Всем привет! Начиная с версии MySQL 5.1, разработчики внедрили функции для работы с XML. Несмотря на то, что в коде учебной веб-страницы мы не будем использовать XML, уязвимость прекрасно будет работать). Мы просто будем использовать одну из функций XPATH, чтобы генерировать ошибку и получать вывод нужных данных.
📌 Читать далее
#beginner #sql #injection
Всем привет! Начиная с версии MySQL 5.1, разработчики внедрили функции для работы с XML. Несмотря на то, что в коде учебной веб-страницы мы не будем использовать XML, уязвимость прекрасно будет работать). Мы просто будем использовать одну из функций XPATH, чтобы генерировать ошибку и получать вывод нужных данных.
📌 Читать далее
#beginner #sql #injection
[8] Burp Suite: Примеры SQL Инъекций
Приветствую всех гостей и обитателей портала Codeby! В этой части цикла об Burp Suite я расскажу, что такое SQL-инъекция (ну надо так, знаю, что все прекрасно знают, что такое SQL и как их пользовать), опишу некоторые распространенные примеры, объясню, как найти и использовать различные виды уязвимостей SQL-инъекций, и подведу итоги, показав как предотвратить внедрение SQL.
📌 Читать далее
#burpsuite #sql #pentest
Приветствую всех гостей и обитателей портала Codeby! В этой части цикла об Burp Suite я расскажу, что такое SQL-инъекция (ну надо так, знаю, что все прекрасно знают, что такое SQL и как их пользовать), опишу некоторые распространенные примеры, объясню, как найти и использовать различные виды уязвимостей SQL-инъекций, и подведу итоги, показав как предотвратить внедрение SQL.
📌 Читать далее
#burpsuite #sql #pentest
Автоматизация эксплуатации слепой boolean-based SQL-инъекции при помощи WFUZZ
Недавно один человек мне задал вопрос: «А зачем нужен Burp Suite, если как фаззер он слабоват и тормознут и есть много других хороших инструментов, например, таких как wfuzz?» Я ответил, что если он сможет раскрутить при помощи того же wfuzz’а слепую sql-инъекцию, то это будет хороший материал для статьи. Потом я сам что-то заморочился этим вопросом и подумал: «А это вообще возможно»? И этот вопрос сподвиг меня на очередной творческий подвиг.
📌 Читать статью
#sql #injection #fuzzing
Недавно один человек мне задал вопрос: «А зачем нужен Burp Suite, если как фаззер он слабоват и тормознут и есть много других хороших инструментов, например, таких как wfuzz?» Я ответил, что если он сможет раскрутить при помощи того же wfuzz’а слепую sql-инъекцию, то это будет хороший материал для статьи. Потом я сам что-то заморочился этим вопросом и подумал: «А это вообще возможно»? И этот вопрос сподвиг меня на очередной творческий подвиг.
📌 Читать статью
#sql #injection #fuzzing
SQL - прежде чем ломать базы данных - часть 3
Всем привет! Поскольку в предыдущих частях я показывал примеры на одной таблице, то упустил очень важный оператор UNION, который будет постоянно использоваться в SQL-инъекциях. Поэтому встречайте часть 3). А в следующей статье я вам расскажу об одном классном ресурсе, где есть возможность потренироваться на SQL-инъекциях, и разберёмся с первым, самым простым видом инъекции, который до сих пор весьма часто встречается.
📌 Читать далее
#beginner #sql #injection
Всем привет! Поскольку в предыдущих частях я показывал примеры на одной таблице, то упустил очень важный оператор UNION, который будет постоянно использоваться в SQL-инъекциях. Поэтому встречайте часть 3). А в следующей статье я вам расскажу об одном классном ресурсе, где есть возможность потренироваться на SQL-инъекциях, и разберёмся с первым, самым простым видом инъекции, который до сих пор весьма часто встречается.
📌 Читать далее
#beginner #sql #injection
Автоматизация эксплуатации слепой boolean-based SQL-инъекции при помощи WFUZZ
Недавно один человек мне задал вопрос: «А зачем нужен Burp Suite, если как фаззер он слабоват и тормознут и есть много других хороших инструментов, например, таких как wfuzz?» Я ответил, что если он сможет раскрутить при помощи того же wfuzz’а слепую sql-инъекцию, то это будет хороший материал для статьи. Потом я сам что-то заморочился этим вопросом и подумал: «А это вообще возможно»? И этот вопрос сподвиг меня на очередной творческий подвиг.
📌 Читать статью
#sql #injection #fuzzing
Недавно один человек мне задал вопрос: «А зачем нужен Burp Suite, если как фаззер он слабоват и тормознут и есть много других хороших инструментов, например, таких как wfuzz?» Я ответил, что если он сможет раскрутить при помощи того же wfuzz’а слепую sql-инъекцию, то это будет хороший материал для статьи. Потом я сам что-то заморочился этим вопросом и подумал: «А это вообще возможно»? И этот вопрос сподвиг меня на очередной творческий подвиг.
📌 Читать статью
#sql #injection #fuzzing
SQL-injection, начало - UNION BASED
Приветствую тебя читатель! Если ты новичок, и непременно хочешь разбираться в sql-инъекциях, то сначала проделай то, что написано в этой статье. А для чего вообще нужно ручное тестирование? Ведь есть куча программ во главе с sqlmap. Я так скажу - не все инъекции и не всегда могут раскрутить программы. В тоже время ручные тесты дадут максимальный шанс внедрить произвольный sql-код. Кроме того, даже если вы станете продвинутым пользователем sqlmap, то это лишь уровень скрипт-кидди, не понимающего что происходит на самом деле. Разумеется программы для того и придуманы, чтобы облегчить наш труд, но труд знающего человека, у которого не возникает вопросов по пейлоадам.
📌 Читать далее
#sql #injection
Приветствую тебя читатель! Если ты новичок, и непременно хочешь разбираться в sql-инъекциях, то сначала проделай то, что написано в этой статье. А для чего вообще нужно ручное тестирование? Ведь есть куча программ во главе с sqlmap. Я так скажу - не все инъекции и не всегда могут раскрутить программы. В тоже время ручные тесты дадут максимальный шанс внедрить произвольный sql-код. Кроме того, даже если вы станете продвинутым пользователем sqlmap, то это лишь уровень скрипт-кидди, не понимающего что происходит на самом деле. Разумеется программы для того и придуманы, чтобы облегчить наш труд, но труд знающего человека, у которого не возникает вопросов по пейлоадам.
📌 Читать далее
#sql #injection
SQL-injection, UNION BASED - Быстрые техники
Приветствую тебя читатель! Надеюсь ты уже решил базовые задачки из предыдущей статьи. А сегодня я расскажу о более продвинутых техниках, позволяющих извлекать данные из баз гораздо быстрее. Данный подход называется DIOS (DUMP IN ONE SHOOT
📌 Читать далее
#sql #injection
Приветствую тебя читатель! Надеюсь ты уже решил базовые задачки из предыдущей статьи. А сегодня я расскажу о более продвинутых техниках, позволяющих извлекать данные из баз гораздо быстрее. Данный подход называется DIOS (DUMP IN ONE SHOOT
📌 Читать далее
#sql #injection
Out-of-band атаки
В этой статье я расскажу о понятии и концепции "Out-of-band" («вне-диапазона») , а также о использовании на некоторых примерах. Хоть на первый взгляд это может показаться бессмысленным, но на самом деле, out-of-band хорошо демонстрирует общую концепцию. Давайте рассмотрим это шаг за шагом.
📌 Читать далее
#sql #xss #pentest
В этой статье я расскажу о понятии и концепции "Out-of-band" («вне-диапазона») , а также о использовании на некоторых примерах. Хоть на первый взгляд это может показаться бессмысленным, но на самом деле, out-of-band хорошо демонстрирует общую концепцию. Давайте рассмотрим это шаг за шагом.
📌 Читать далее
#sql #xss #pentest
Автоматизация эксплуатации слепой Time-based SQL-инъекции при помощи Burp Suite и WFUZZ
Привет, форумчане! Как показала практика, автоматизация извлечения данных из таблиц посредством Burp Suite и WFUZZ имеет право на жизнь, а моя писанина даже кому-то принесла пользу. Сегодня мы попробуем использовать эти же инструменты для эксплуатации Time-based SQL-инъекции.
📌 Читать далее
#sql #injection #fuzzing
Привет, форумчане! Как показала практика, автоматизация извлечения данных из таблиц посредством Burp Suite и WFUZZ имеет право на жизнь, а моя писанина даже кому-то принесла пользу. Сегодня мы попробуем использовать эти же инструменты для эксплуатации Time-based SQL-инъекции.
📌 Читать далее
#sql #injection #fuzzing
