Sql Injection

Dieses Thema im Forum "Sicherheit & Datenschutz" wurde erstellt von BloodAngel, 10. Oktober 2006 .

Schlagworte:
  1. 10. Oktober 2006
    Also habe da ein paar Fragen dazu.

    (1) Wie bekomme ich raus ob im Hintergrund eine Datenbank läuft?

    (2) Injection geschieht ja mit Select ....... und dabei muss man ja die Tabelle und auch die Spalten
    kennen zumindest wie sie genannt werden. Wie bekommt man das raus?

    (3) Nachdem man das alles kennt kann man sich ja einfach den COde zusammenbasteln, nun Wo
    gibt man diesen Code genau ein?

    Fragen über Fragen *G*


    Mfg Bloody
     
    + Multi-Zitat Zitieren
  3. 10. Oktober 2006
    AW: Sql Injection

    1. Foren, etc. benutzen Datenbanken, das weiss man einfach.
    2. Indem man weiss welche Tabellen das 'Script' benutzt (Script anglubschen).
    3. Das weisst du wenn du die Sprache gut kennst ...

    Fazit: Lernen, lernen und lernen.
     
    + Multi-Zitat Zitieren
  4. 10. Oktober 2006
    AW: Sql Injection

    Nix was mir jetzt genau richtig beantwortet worde *g*

    Um genauer zu sein wie anhand welches script? Wie sieht das aus und was sollte man sehen?

    Gibt es da viele mgls um die Injection einzugeben?
     
    + Multi-Zitat Zitieren
  5. 10. Oktober 2006
    AW: Sql Injection

    Lern erstmal SQL - damit hast du die Vorraussetzung die Materie zu verstehen!
    Wenn du eine Schwachstelle finden willst, musst du dir die Software genau anschauen, welche Querys gemacht werden, etc.
    Wenn du SQL verstehst (ich habe mich damit leider nicht genug befasst), weist du wie du durch einen Code die Querys auslesen kannst!

    Hatte da mal nen nettes TUT, hab ich aber anscheinend verlegt!
     
    + Multi-Zitat Zitieren
  6. 14. Oktober 2006
    AW: Sql Injection

    Ob eine SQL-Injection möglichst ist würde ich einfach mal an übergebene GET oder POST Parameter bisschen rumfummeln (z.B. mal nen ' einsetzen). Wenn dann nen SQL-Error kommt wie "The selected SQL-Statmenet blabla" siehts schonmal gut aus, dann kannste weiter rumprobieren.
    Zu 2: Man muss nicht immer wissen was für Tabellen-Namen benutzt werden, z.B. kannst du ohne Tabellen-Namen und nen bekanntes verzeichnis mit chmod 777 ne PHP-Shell hochladen.
    Schau dir am besten mal bei milw0rm.com ein paar Exploits zum THema Web-Apps an (learing by doing )

    FlowFlo
     
    + Multi-Zitat Zitieren
  7. Video Script

    Videos zum Themenbereich

    * gefundene Videos auf YouTube, anhand der Überschrift.

Auf dieses Thema antworten