zhinσσs
کاربر نگاه دانلود
پایگاه داده جزء حیاتی و لا ینفک هر سیستمی در شبکه و اینترنت است. تمامی سایتها و سامانهها از پایگاه داده استفاده میکنند.
بدلیل ماهیت پایگاه داده که عملیات فراخوانی و ذخیره اطلاعات را با هم انجام میدهند این سیستم مستعد حجم بزرگی از آسیب پذیریها است و اولین هدف هر نفوذگری در واقع رخنه کردن به اطلاعات موجود در سیستم دیتابیس سایت یا سامانه تحت وب است.
عملیات SQL Injection به این نحو است که نفوذگر پس از یافتن آسیب پذیری SQL در سورس سایت شروع به تزریق کدهای مخرب به منظور واکشی اطلاعات از آن آسیب پذیری میکند.
در برخی پایگاههای داده بدلیل تنظیمات خاص نمیتوان تغییراتی در جداول موجود در پایگاه داده ایجاد کرد ولی میتوان حداقل اطلاعات موجود در پایگاه داده را خواند و از آنها برای تکمیل عملیات نفوذ بهره برد.
مثلا اگر از یک سیستم بتوان نام کاربری مدیر سایت را استخراج کرد، حتی اگر نتوانیم Hash پسور را کرک کنیم میتوانیم با کمک نام کاربری عملیات Brute Force را انجام دهیم.
بدلیل ماهیت پایگاه داده که عملیات فراخوانی و ذخیره اطلاعات را با هم انجام میدهند این سیستم مستعد حجم بزرگی از آسیب پذیریها است و اولین هدف هر نفوذگری در واقع رخنه کردن به اطلاعات موجود در سیستم دیتابیس سایت یا سامانه تحت وب است.
عملیات SQL Injection به این نحو است که نفوذگر پس از یافتن آسیب پذیری SQL در سورس سایت شروع به تزریق کدهای مخرب به منظور واکشی اطلاعات از آن آسیب پذیری میکند.
در برخی پایگاههای داده بدلیل تنظیمات خاص نمیتوان تغییراتی در جداول موجود در پایگاه داده ایجاد کرد ولی میتوان حداقل اطلاعات موجود در پایگاه داده را خواند و از آنها برای تکمیل عملیات نفوذ بهره برد.
مثلا اگر از یک سیستم بتوان نام کاربری مدیر سایت را استخراج کرد، حتی اگر نتوانیم Hash پسور را کرک کنیم میتوانیم با کمک نام کاربری عملیات Brute Force را انجام دهیم.
