demandosigno

なんとか生きていけるように

SQL Injection

WebGaot 6-2 SQL Injection (intro)

No.9 Try It! String SQL injection コード内のクエリは、前の例で見たように動的なクエリを構築します。このクエリは文字列を連結して作られているため、String SQL Injectionの影響を受けやすくなっています。 "SELECT * FROM user_data WHERE first_name …

WebGaot 6-1 SQL Injection (intro)

No.2 What is SQL? SQLとは、標準化された(1986年にANSI、1987年にISO)プログラミング言語で、リレーショナル・データベースを管理し、データベース内のデータに対してさまざまな操作を行うために使用されます。 データベースとは、データの集まりのことで…

sqlmap

sqlmap: automatic SQL injection and database takeover tool SQL Injection に特化したオープンソースの診断ツール。 Metasploitable2 Linux を起動 Kali Linux から BurpSuite を起動 root@kali:~# burpsuite [Proxy] → [Options]から ローカルホスト(12…

SQL Injection(Blind SQL Injection)

SQLインジェクション - Wikipedia ブラインドSQLインジェクションと呼ばれる手法も存在する。例えば、「テーブル名の1文字目がaのテーブルは存在するか?」「aで始まり2文字目がbのテーブルは存在するか?」などの情報を確認するサブクエリーを含め、その抽…

SQL Injection

安全なウェブサイトの作り方:IPA 独立行政法人 情報処理推進機構 P.6「1.1 SQL インジェクション」参照 別冊:「安全なSQLの呼び出し方」参照 Metasploitable2 の DVWA にログインする Security Level : low を確認 左欄から SQL Injection を選択し、Vulne…