(الدرس لاول) شرح ثغرات Sql injection --روهاك

مواضيع مفضلة

(الدرس لاول) شرح ثغرات Sql injection --روهاك






بسم الله الرحمن الرحيم و الصلاة و السلام على اشرف المرسلين اما بعد 
السلام عليكم  و رحمة الله تعالى و بركاته
مرحباً بكم اخواني الكرام في شرح اليوم 

و من منا ﻻ يعرف ثغرة SQL Injection او مايعرف بثغرات الحقن التي احتلت مئات الالاف من المواقع الكبيرة منها و الصغيرة

بداية سنعرفها ببساطة : 

ثغرة SQL Injection هي ثغرة امنية توجد في قواعد البيانات الخاصة بالمواقع
و تمكننا من رؤية كل ما بقاعدة البيانات من جداول الى اعمدة و من اعمدة الى بيانات

كيف نكتشفها ؟ : 

ساشرح لكم طريقة اكتشافها من الرابط اخواني و ليس من السكربت البرمجي
الطريقة بسيطة جدا
يجب ان يكون الرابط على الشكل
http://www.site.com/[anything].[anything]?[anything]=[integer(number)]

و anything يتم استبدالها بأي كلمة مثل
www.site.com/index.php?id=6
www.site.com/book.php?cid=7
www.site.php/member_profile.asp?mnl=20
...الخ من الروابط
الان بعدما نحصل على هذا الرابط نضيف هذه العلامة ' في نهاية الرابط فقط
مثل هكذا
www.site.com/index.php?id=6'      
اذا لم يتغير شكل الموقع وبقي مثل ماهو اذاً فهو سليم و غير مصاب
اما اذا تغير شكل الموقع بدون اخطاء فهناك احتمالية قليلة بإصابته
و اذا ظهر لكم خطأ مثل 
This error message may seem cryptic at first. That is because it is a general MySQL error pointing to a syntax error of ..... 
او 
You have an error in your SQL syntax; check the manual that  ....
....  
اذا فالموقع مصاب بهذه الثغرة
الآن ننتقل الى

طريقة استغلال الثغرة :

لاستغلال ثغرة SQL Injection اخواني هناك طريقتين 

طريقة الحقن اليدوي : و طبعا طريقة يدوية و متعبة و بدون اي برامج فقط تضيف تعديلات على الرابط مثل

 union+select+,1,2,3,4,5
order+by+6
و العديد من الاوامر مايجعله يديوي و صعب و لكن نتيجته ممتازة

طريقة الحقن الاوتوماتيكي : و طبعاً هي المشهورة نظراً لسهولتها و سرعتها

لأنه يستعمل فيها البرامج مثل Havij و اداة sqlmap فقط عليك وضع الرابط و تنتظر النتائج ^_^
 و في هذا الشرح سنشرح الحقن الاوتوماتيكي و بالتحديد اداة sqlmap الموجودة في كالي لينكس
 و يمكنكم تحميلها على الويندوز ايضا من الموقع الرسمي 

في الدرس القدام انشاء لله لكيفية الحقن  عن طريق برنامج Havij و هو اسهل طريقة للمبتدئين 

اي استفسار اتركه في تعليق :) 

  • روابط التحميل والمشاهدة، الروابط المباشرة للتحميل من هنا
---------------------------------------------------------------
شاهد هذا الفيديو القصير لطريقة التحميل البسيطة من هنا
كيف تحصل على مدونة جاهزة بآلاف المواضيع والمشاركات من هنا شاهد قناة منتدى مدونات بلوجر جاهزة بألاف المواضيع والمشاركات على اليوتيوب لمزيد من الشرح من هنا رابط مدونة منتدى مدونات بلوجر جاهزة بآلاف المواضيع والمشاركات في أي وقت حــــتى لو تم حذفها من هنا شاهد صفحة منتدى مدونات بلوجر جاهزة بألاف المواضيع والمشاركات على الفيس بوك لمزيد من الشرح من هنا تعرف على ترتيب مواضيع منتدى مدونات بلوجر جاهزة بآلاف المواضيع والمشاركات (حتى لا تختلط عليك الامور) من هنا
ملاحظة هامة: كل عمليات تنزيل، رفع، وتعديل المواضيع الجاهزة تتم بطريقة آلية، ونعتذر عن اي موضوع مخالف او مخل بالحياء مرفوع بالمدونات الجاهزة بآلاف المواضيع والمشاركات، ولكم ان تقوموا بحذف هذه المواضيع والمشاركات والطريقة بسيطة وسهلة. ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــسلامـ.

إرسال تعليق

المشاركة على واتساب متوفرة فقط في الهواتف