#ceh
#sql_injection
#23 Руководство по подготовке сертифицированного этичного хакера (CEH). SQL-инъекции.
Здравствуйте, дорогие друзья.
Язык структурированных запросов (SQL) — это язык, который позволяет взаимодействовать с сервером базы данных. Программисты используют команды SQL для выполнения операции с использованием баз данных. Внедрение SQL использует преимущества непроверенныех входных данных. Злоумышленники вводят SQL-команды через веб-приложение, которое выполняется в серверной базе данных. Любое веб-приложение, которое принимает пользовательский ввод, для выполнения действия или выполнения запроса может быть уязвимо для SQL-инъекций.
В этом разделе, Вы узнаете о SQL-инъекциях, о том, как они работают, и что могут сделать администраторы, чтобы предотвратить их.
К концу этого раздела Вы сможете
Изучить атаки с внедрением SQL.
Определить стратегии защиты от атак путем внедрения кода SQL.
Подробнее: https://timcore.ru/2022/08/19/23-rukovodstvo-po-podgotovke-sertificirovannogo-jetichnogo-hakera-ceh-sql-inekcii/
#sql_injection
#23 Руководство по подготовке сертифицированного этичного хакера (CEH). SQL-инъекции.
Здравствуйте, дорогие друзья.
Язык структурированных запросов (SQL) — это язык, который позволяет взаимодействовать с сервером базы данных. Программисты используют команды SQL для выполнения операции с использованием баз данных. Внедрение SQL использует преимущества непроверенныех входных данных. Злоумышленники вводят SQL-команды через веб-приложение, которое выполняется в серверной базе данных. Любое веб-приложение, которое принимает пользовательский ввод, для выполнения действия или выполнения запроса может быть уязвимо для SQL-инъекций.
В этом разделе, Вы узнаете о SQL-инъекциях, о том, как они работают, и что могут сделать администраторы, чтобы предотвратить их.
К концу этого раздела Вы сможете
Изучить атаки с внедрением SQL.
Определить стратегии защиты от атак путем внедрения кода SQL.
Подробнее: https://timcore.ru/2022/08/19/23-rukovodstvo-po-podgotovke-sertificirovannogo-jetichnogo-hakera-ceh-sql-inekcii/
Этичный хакинг с Михаилом Тарасовым (Timcore)
#23 Руководство по подготовке сертифицированного этичного хакера (CEH). SQL-инъекции. - Этичный хакинг с Михаилом Тарасовым (Timcore)
Здравствуйте, дорогие друзья. Язык структурированных запросов (SQL) — это язык, который позволяет взаимодействовать с сервером базы данных. Программисты используют команды SQL для выполнения операции с
#csharp
#gray_hat
#sql
#sql_injection
#8 Gray Hat C#. Руководство для хакера по созданию и автоматизации инструментов безопасности. SQL-инъекции.
Здравствуйте, дорогие друзья.
В современных веб-приложениях, программистам необходимо иметь возможность скрыто хранить и запрашивать информацию, чтобы обеспечить высококачественный и надежный пользовательский интерфейс. Обычно это достигается с помощью базы данных языка структурированных запросов (SQL), такой как MySQL, PostgreSQL или Microsoft SQL Server. SQL позволяет программисту программно взаимодействовать с базой данных, с помощью операторов SQL — кода, который сообщает базе данных, как создавать, читать, обновлять или удалять данные на основе некоторой предоставленной информации или критериев.
Подробнее: https://timcore.ru/2023/09/15/8-gray-hat-c-rukovodstvo-dlja-hakera-po-sozdaniju-i-avtomatizacii-instrumentov-bezopasnosti-sql-inekcii/
#gray_hat
#sql
#sql_injection
#8 Gray Hat C#. Руководство для хакера по созданию и автоматизации инструментов безопасности. SQL-инъекции.
Здравствуйте, дорогие друзья.
В современных веб-приложениях, программистам необходимо иметь возможность скрыто хранить и запрашивать информацию, чтобы обеспечить высококачественный и надежный пользовательский интерфейс. Обычно это достигается с помощью базы данных языка структурированных запросов (SQL), такой как MySQL, PostgreSQL или Microsoft SQL Server. SQL позволяет программисту программно взаимодействовать с базой данных, с помощью операторов SQL — кода, который сообщает базе данных, как создавать, читать, обновлять или удалять данные на основе некоторой предоставленной информации или критериев.
Подробнее: https://timcore.ru/2023/09/15/8-gray-hat-c-rukovodstvo-dlja-hakera-po-sozdaniju-i-avtomatizacii-instrumentov-bezopasnosti-sql-inekcii/
Этичный хакинг с Михаилом Тарасовым (Timcore)
#8 Gray Hat C#. Руководство для хакера по созданию и автоматизации инструментов безопасности. SQL-инъекции. - Этичный хакинг с…
В современных веб-приложениях, программистам необходимо иметь возможность скрыто хранить и запрашивать информацию, чтобы обеспечить высококачественный и надежный пользовательский интерфейс. Обычно это достигается с помощью базы данных языка структурированных…
#charp
#gray_hat
#sql_injection
#exploit
#13 Gray Hat C#. Руководство для хакера по созданию и автоматизации инструментов безопасности. Использование SQL-инъекций. Выполнение эксплойта на основе UNION вручную.
Здравствуйте, дорогие друзья.
Обнаружение возможных SQL-инъекций — это только половина работы тестера на проникновение; их эксплуатация — более важная и трудная половина. Ранее в этом разделе мы использовали URL-адрес из BadStore для фаззинга параметров строки запроса HTTP, одним из которых, был уязвимый параметр строки запроса, называемый searchquery. Параметр строки запроса URL-адреса searchquery уязвим для двух типов методов внедрения SQL. Оба типа внедрения (логический и UNION) невероятно полезны для понимания, поэтому я опишу написание эксплойтов для обоих типов с использованием одного и того же уязвимого URL-адреса BadStore.
Подробнее: https://timcore.ru/2023/09/19/13-gray-hat-c-rukovodstvo-dlja-hakera-po-sozdaniju-i-avtomatizacii-instrumentov-bezopasnosti-ispolzovanie-sql-inekcij-vypolnenie-jeksplojta-na-osnove-union-vruchnuju/
#gray_hat
#sql_injection
#exploit
#13 Gray Hat C#. Руководство для хакера по созданию и автоматизации инструментов безопасности. Использование SQL-инъекций. Выполнение эксплойта на основе UNION вручную.
Здравствуйте, дорогие друзья.
Обнаружение возможных SQL-инъекций — это только половина работы тестера на проникновение; их эксплуатация — более важная и трудная половина. Ранее в этом разделе мы использовали URL-адрес из BadStore для фаззинга параметров строки запроса HTTP, одним из которых, был уязвимый параметр строки запроса, называемый searchquery. Параметр строки запроса URL-адреса searchquery уязвим для двух типов методов внедрения SQL. Оба типа внедрения (логический и UNION) невероятно полезны для понимания, поэтому я опишу написание эксплойтов для обоих типов с использованием одного и того же уязвимого URL-адреса BadStore.
Подробнее: https://timcore.ru/2023/09/19/13-gray-hat-c-rukovodstvo-dlja-hakera-po-sozdaniju-i-avtomatizacii-instrumentov-bezopasnosti-ispolzovanie-sql-inekcij-vypolnenie-jeksplojta-na-osnove-union-vruchnuju/
Этичный хакинг с Михаилом Тарасовым (Timcore)
#13 Gray Hat C#. Руководство для хакера по созданию и автоматизации инструментов безопасности. Использование SQL-инъекций. Выполнение…
Обнаружение возможных SQL-инъекций - это только половина работы тестера на проникновение; их эксплуатация - более важная и трудная половина. Ранее в этом разделе мы использовали URL-адрес из BadStore для фаззинга параметров строки запроса HTTP, одним из которых…
#charp
#gray_hat
#sql_injection
#exploit
#14 Gray Hat C#. Руководство для хакера по созданию и автоматизации инструментов безопасности. Использование SQL-инъекций. Программное выполнение эксплойта на основе UNION.
Здравствуйте, дорогие друзья.
Теперь давайте посмотрим, как мы можем реализовать этот эксплойт программно, используя некоторые классы C# и HTTP. Поместив полезную нагрузку, показанную в листинге выше, в параметр searchquery, мы должны увидеть на веб-странице таблицу элементов с именами пользователей и хэшами паролей, вместо реальных элементов. Все, что нам нужно сделать, это выполнить один HTTP-запрос, а затем использовать регулярное выражение для извлечения электронных писем и хэшей паролей между маркерами из ответа HTTP-сервера.
Подробнее: https://timcore.ru/2023/09/19/14-gray-hat-c-rukovodstvo-dlja-hakera-po-sozdaniju-i-avtomatizacii-instrumentov-bezopasnosti-ispolzovanie-sql-inekcij-programmnoe-vypolnenie-jeksplojta-na-osnove-union/
#gray_hat
#sql_injection
#exploit
#14 Gray Hat C#. Руководство для хакера по созданию и автоматизации инструментов безопасности. Использование SQL-инъекций. Программное выполнение эксплойта на основе UNION.
Здравствуйте, дорогие друзья.
Теперь давайте посмотрим, как мы можем реализовать этот эксплойт программно, используя некоторые классы C# и HTTP. Поместив полезную нагрузку, показанную в листинге выше, в параметр searchquery, мы должны увидеть на веб-странице таблицу элементов с именами пользователей и хэшами паролей, вместо реальных элементов. Все, что нам нужно сделать, это выполнить один HTTP-запрос, а затем использовать регулярное выражение для извлечения электронных писем и хэшей паролей между маркерами из ответа HTTP-сервера.
Подробнее: https://timcore.ru/2023/09/19/14-gray-hat-c-rukovodstvo-dlja-hakera-po-sozdaniju-i-avtomatizacii-instrumentov-bezopasnosti-ispolzovanie-sql-inekcij-programmnoe-vypolnenie-jeksplojta-na-osnove-union/
Этичный хакинг с Михаилом Тарасовым (Timcore)
#14 Gray Hat C#. Руководство для хакера по созданию и автоматизации инструментов безопасности. Использование SQL-инъекций. Программное…
Здравствуйте, дорогие друзья. Теперь давайте посмотрим, как мы можем реализовать этот эксплойт программно, используя некоторые классы C# и HTTP. Поместив полезную нагрузку, показанную в листинге
#csharp
#gray_hat
#sql_injection
#21 Gray Hat C#. Руководство для хакера по созданию и автоматизации инструментов безопасности. Автоматический фаззинг конечной точки SOАP на предмет уязвимостей SQL-инъекций.
Здравствуйте, дорогие друзья.
Теперь, когда строительные блоки фаззера WSDL созданы, мы можем приступить к разработке действительно интересного инструмента. Используя класс WSDL, мы можем взаимодействовать с данными в WSDL объектно-ориентированным способом, что значительно упрощает фаззинг конечной точки SOAP.
Подробнее: https://timcore.ru/2023/09/27/21-gray-hat-c-rukovodstvo-dlja-hakera-po-sozdaniju-i-avtomatizacii-instrumentov-bezopasnosti-avtomaticheskij-fazzing-konechnoj-tochki-soap-na-predmet-ujazvimostej-sql-inekcij/
#gray_hat
#sql_injection
#21 Gray Hat C#. Руководство для хакера по созданию и автоматизации инструментов безопасности. Автоматический фаззинг конечной точки SOАP на предмет уязвимостей SQL-инъекций.
Здравствуйте, дорогие друзья.
Теперь, когда строительные блоки фаззера WSDL созданы, мы можем приступить к разработке действительно интересного инструмента. Используя класс WSDL, мы можем взаимодействовать с данными в WSDL объектно-ориентированным способом, что значительно упрощает фаззинг конечной точки SOAP.
Подробнее: https://timcore.ru/2023/09/27/21-gray-hat-c-rukovodstvo-dlja-hakera-po-sozdaniju-i-avtomatizacii-instrumentov-bezopasnosti-avtomaticheskij-fazzing-konechnoj-tochki-soap-na-predmet-ujazvimostej-sql-inekcij/
Этичный хакинг с Михаилом Тарасовым (Timcore)
#21 Gray Hat C#. Руководство для хакера по созданию и автоматизации инструментов безопасности. Автоматический фаззинг конечной…
Теперь, когда строительные блоки фаззера WSDL созданы, мы можем приступить к разработке действительно интересного инструмента. Используя класс WSDL, мы можем взаимодействовать с данными в WSDL объектно-ориентированным способом, что значительно упрощает фаззинг…
#web
#sql_injection
#xss
Безопасность веб-приложений: Типичные уязвимости и защита от них.
Здравствуйте, дорогие друзья.
Веб-приложения являются центральным элементом многих бизнес-операций, но они также могут быть уязвимы для различных атак, если не обеспечена должная защита. Среди наиболее распространенных уязвимостей стоит выделить SQL-инъекции (SQL Injection) и межсайтовый скриптинг (Cross-Site Scripting, XSS).
Подробнее: https://timcore.ru/2024/01/22/bezopasnost-veb-prilozhenij-tipichnye-ujazvimosti-i-zashhita-ot-nih/
#sql_injection
#xss
Безопасность веб-приложений: Типичные уязвимости и защита от них.
Здравствуйте, дорогие друзья.
Веб-приложения являются центральным элементом многих бизнес-операций, но они также могут быть уязвимы для различных атак, если не обеспечена должная защита. Среди наиболее распространенных уязвимостей стоит выделить SQL-инъекции (SQL Injection) и межсайтовый скриптинг (Cross-Site Scripting, XSS).
Подробнее: https://timcore.ru/2024/01/22/bezopasnost-veb-prilozhenij-tipichnye-ujazvimosti-i-zashhita-ot-nih/
Этичный хакинг с Михаилом Тарасовым (Timcore)
Безопасность веб-приложений: Типичные уязвимости и защита от них. - Этичный хакинг с Михаилом Тарасовым (Timcore)
Веб-приложения являются центральным элементом многих бизнес-операций, но они также могут быть уязвимы для различных атак, если не обеспечена должная защита. Среди наиболее распространенных уязвимостей стоит выделить SQL-инъекции (SQL Injection) и межсайтовый…
#ethical_hacking
#vulnerability
#sql_injection
#xss
Безопасность веб-приложений: Типичные уязвимости и защита от них.
Здравствуйте, дорогие друзья.
Веб-приложения являются центральным элементом многих бизнес-операций, но они также могут быть уязвимы для различных атак, если не обеспечена должная защита. Среди наиболее распространенных уязвимостей стоит выделить SQL-инъекции (SQL Injection) и межсайтовый скриптинг (Cross-Site Scripting, XSS). Давайте обсудим эти уязвимости и рассмотрим методы их предотвращения.
Подробнее: https://timcore.ru/2024/03/13/bezopasnost-veb-prilozhenij-tipichnye-ujazvimosti-i-zashhita-ot-nih-2/
#vulnerability
#sql_injection
#xss
Безопасность веб-приложений: Типичные уязвимости и защита от них.
Здравствуйте, дорогие друзья.
Веб-приложения являются центральным элементом многих бизнес-операций, но они также могут быть уязвимы для различных атак, если не обеспечена должная защита. Среди наиболее распространенных уязвимостей стоит выделить SQL-инъекции (SQL Injection) и межсайтовый скриптинг (Cross-Site Scripting, XSS). Давайте обсудим эти уязвимости и рассмотрим методы их предотвращения.
Подробнее: https://timcore.ru/2024/03/13/bezopasnost-veb-prilozhenij-tipichnye-ujazvimosti-i-zashhita-ot-nih-2/
Этичный хакинг с Михаилом Тарасовым (Timcore)
Безопасность веб-приложений: Типичные уязвимости и защита от них. - Этичный хакинг с Михаилом Тарасовым (Timcore)
Веб-приложения являются центральным элементом многих бизнес-операций, но они также могут быть уязвимы для различных атак, если не обеспечена должная защита.
#bug_bounty
#bug_hunting
#sql_injection
#18 Bug Bounty v.2 — PostgreSQL. Union Based SQL — Injection
Здравствуйте, дорогие друзья.
Как и в случае с MySQL, первым шагом является определение того, сколько столбцов использует SQL-запрос, это можно сделать с помощью оператора “order by”. Как показано ниже, мы запрашиваем сервер “есть ли у вас хотя бы один столбец”, затем спрашиваем “есть ли у вас два столбца” и так далее, пока не получим сообщение об ошибке.
Подробнее: https://timcore.ru/2024/09/06/18-bug-bounty-v-2-postgresql-union-based-sql-injection/
Другие наши проекты:
https://timcore.ru/
https://timcourse.ru/
https://timforensics.ru/
https://tarasovinvest.ru/
https://mikhailtarasovcom.ru/
https://timrobot.ru/
👨💻 https://vk.com/hacker_timcore - Образование для хакеров Junior, Middle.
🏫 https://vk.com/school_timcore - Школа этичного хакинга Timcore.
🤖 https://vk.com/programmer_timcore - Разработка роботов под заказ, готовые скрипты.
🎮 https://vk.com/timcore_games - Разработка игр.
🕵️♂️ https://vk.com/forensics_timcore - Услуги кибердетектива.
💰 https://vk.com/project_financing - Инвестиции (проектное финансирование).
Будем рады видеть Вас в числе наших посетителей и подписчиков в представленных сайтах и пабликах вк.
#bug_hunting
#sql_injection
#18 Bug Bounty v.2 — PostgreSQL. Union Based SQL — Injection
Здравствуйте, дорогие друзья.
Как и в случае с MySQL, первым шагом является определение того, сколько столбцов использует SQL-запрос, это можно сделать с помощью оператора “order by”. Как показано ниже, мы запрашиваем сервер “есть ли у вас хотя бы один столбец”, затем спрашиваем “есть ли у вас два столбца” и так далее, пока не получим сообщение об ошибке.
Подробнее: https://timcore.ru/2024/09/06/18-bug-bounty-v-2-postgresql-union-based-sql-injection/
Другие наши проекты:
https://timcore.ru/
https://timcourse.ru/
https://timforensics.ru/
https://tarasovinvest.ru/
https://mikhailtarasovcom.ru/
https://timrobot.ru/
👨💻 https://vk.com/hacker_timcore - Образование для хакеров Junior, Middle.
🏫 https://vk.com/school_timcore - Школа этичного хакинга Timcore.
🤖 https://vk.com/programmer_timcore - Разработка роботов под заказ, готовые скрипты.
🎮 https://vk.com/timcore_games - Разработка игр.
🕵️♂️ https://vk.com/forensics_timcore - Услуги кибердетектива.
💰 https://vk.com/project_financing - Инвестиции (проектное финансирование).
Будем рады видеть Вас в числе наших посетителей и подписчиков в представленных сайтах и пабликах вк.
Этичный хакинг с Михаилом Тарасовым (Timcore)
#18 Bug Bounty v.2 - PostgreSQL. Union Based SQL - Injection - Этичный хакинг с Михаилом Тарасовым (Timcore)
Как и в случае с MySQL, первым шагом является определение того, сколько столбцов использует SQL-запрос, это можно сделать с помощью оператора “order by”. Как показано ниже, мы запрашиваем сервер “есть ли у вас хотя бы один столбец”, затем спрашиваем “есть…
#bug_bounty
#bug_hunting
#sql_injection
#19 Bug Bounty v.2 — Oracle. Union Based SQL — Injection
Здравствуйте, дорогие друзья.
MySQL и PostgreSQL очень похожи друг на друга, поэтому, если вы знаете одну из них, вам будет легко найти другую. Однако Oracle отличается от этих двух, и для ее успешного использования потребуются некоторые дополнительные знания. Как всегда, при тестировании на наличие этой уязвимости я обычно просто вписываю кучу одинарных и двойных кавычек, пока не получаю сообщение об ошибке.
Подробнее: https://timcore.ru/2024/09/09/19-bug-bounty-v-2-oracle-union-based-sql-injection/
Другие наши проекты:
https://timcore.ru/
https://timcourse.ru/
https://timforensics.ru/
https://tarasovinvest.ru/
https://mikhailtarasovcom.ru/
https://timrobot.ru/
👨💻 https://vk.com/hacker_timcore - Образование для хакеров Junior, Middle.
🏫 https://vk.com/school_timcore - Школа этичного хакинга Timcore.
🤖 https://vk.com/programmer_timcore - Разработка роботов под заказ, готовые скрипты.
🎮 https://vk.com/timcore_games - Разработка игр.
🕵️♂️ https://vk.com/forensics_timcore - Услуги кибердетектива.
💰 https://vk.com/project_financing - Инвестиции (проектное финансирование).
Будем рады видеть Вас в числе наших посетителей и подписчиков в представленных сайтах и пабликах вк.
#bug_hunting
#sql_injection
#19 Bug Bounty v.2 — Oracle. Union Based SQL — Injection
Здравствуйте, дорогие друзья.
MySQL и PostgreSQL очень похожи друг на друга, поэтому, если вы знаете одну из них, вам будет легко найти другую. Однако Oracle отличается от этих двух, и для ее успешного использования потребуются некоторые дополнительные знания. Как всегда, при тестировании на наличие этой уязвимости я обычно просто вписываю кучу одинарных и двойных кавычек, пока не получаю сообщение об ошибке.
Подробнее: https://timcore.ru/2024/09/09/19-bug-bounty-v-2-oracle-union-based-sql-injection/
Другие наши проекты:
https://timcore.ru/
https://timcourse.ru/
https://timforensics.ru/
https://tarasovinvest.ru/
https://mikhailtarasovcom.ru/
https://timrobot.ru/
👨💻 https://vk.com/hacker_timcore - Образование для хакеров Junior, Middle.
🏫 https://vk.com/school_timcore - Школа этичного хакинга Timcore.
🤖 https://vk.com/programmer_timcore - Разработка роботов под заказ, готовые скрипты.
🎮 https://vk.com/timcore_games - Разработка игр.
🕵️♂️ https://vk.com/forensics_timcore - Услуги кибердетектива.
💰 https://vk.com/project_financing - Инвестиции (проектное финансирование).
Будем рады видеть Вас в числе наших посетителей и подписчиков в представленных сайтах и пабликах вк.
Этичный хакинг с Михаилом Тарасовым (Timcore)
#19 Bug Bounty v.2 — Oracle. Union Based SQL - Injection - Этичный хакинг с Михаилом Тарасовым (Timcore)
MySQL и PostgreSQL очень похожи друг на друга, поэтому, если вы знаете один из них, вам будет легко найти другой. Однако Oracle отличается от этих двух, и для ее успешного использования потребуются некоторые дополнительные знания. Как всегда, при тестировании…