Axmadjanov Abrorjon 6- laboratoriya ishi


Boolean-based blind SQL injection



Download 0,97 Mb.
bet2/3
Sana20.03.2022
Hajmi0,97 Mb.
#502885
1   2   3
Bog'liq
Mb 6-lab

Boolean-based blind SQL injection. Ushbu turdagi ineksiya “ko‘r” ineksiya deb atalib, ma’lumotlar bazasidan zaiflik yaqqol ko‘rinmagan holda foydalaniladi. Bunda sintaktik to‘g‘ri bo‘lgan so‘rovlarni kiritish orqali qaytarilgan mantiqiy javobga asoslanib natija aniqlanadi.
Time-based blind SQL injection. Bu to‘liq “ko‘r” ineksiya bo‘lib, unda so‘rovda quyi so‘rov kiritiladi va bu so‘rov ma’lumotlar ba’zasini boshqarish tizimining ishini bir muncha to‘xtatib turadi (SLEEP() yoki BENCHMARK()).
Bu tahdid asosan taqiqlangan belgilarni tekshirmaslik natijasida kelib chiqadi. Quyida ushbu zaiflikni o‘z ichiga olgan SQL so‘rovi keltirilgan:
statement = "SELECT * FROM users WHERE name = '" + userName + "';"
Bu so‘rovga asosan aynan kerakli foydalanuvchi nomi ma’lumotlar bazasidan qidirilmoqda. Agar bu so‘rov buzg‘unchi tomonidan userName o‘rniga ' OR '1'='1 kiritilsa, quyidigi so‘rov hosil bo‘ladi:
SELECT * FROM users WHERE name = '' OR '1'='1';
Natijada ma’lumotlar bazasidan barcha foydalanuvchilar to‘g‘risidagi ma’lumotlar chiqariladi. Bu yerda quyidagi taqiqlangan belgilar birikmasidan ham foydalanish mumkin.
' OR '1'='1' --
' OR '1'='1' ({
' OR '1'='1' /*
Bu tahdidlarni oldini olishda kiruvchi so‘rov maxsus belgilarga tekshirilishi kerak. Ammo, bu so‘rovlarni kundan-kunga yangi turlari kelib chiqmoqda.
So‘rovlarni SQL ineksiyaga zaifligini tekshirish
1. buning uchun ma’lumot bazasi yaratib, unda sodda jadvallar yaratamiz. Masalan, “news” nomli jadval yaratib unga “id” nomli ustun qo‘shing. Quyidagi sodda so‘rov jadvaldan berilgan id tegishli ma’lumotni qaytaradi.
$id = $_GET['id'];
$query = "SELECT * FROM news WHERE id=$id";
Ushbu so‘rov SQL ineksiyaga tekshirilmagan bo‘lib, uni tekshirish uchun quyidagi so‘rovni kiritamiz:
sqlinj/index1.php?id=1'
agar ushbu buyruq kiritilganda xatolik yuz bersa demak zaiflik mavjud bo‘ladi. Xatolik yuz bersa demak zaiflikga qarshi tekshirilgan yoki xatolikni ko‘rsatish o‘chirib qo‘yilgan.
2. qator kiritilganda mavjud xatolikni aniqlash uchun ham yuqoridagi kabi so‘rovni qator tipidagi ustun uchun kiritish zarur.

Download 0,97 Mb.

Do'stlaringiz bilan baham:
1   2   3




Ma'lumotlar bazasi mualliflik huquqi bilan himoyalangan ©hozir.org 2024
ma'muriyatiga murojaat qiling

kiriting | ro'yxatdan o'tish
    Bosh sahifa
юртда тантана
Боғда битган
Бугун юртда
Эшитганлар жилманглар
Эшитмадим деманглар
битган бодомлар
Yangiariq tumani
qitish marakazi
Raqamli texnologiyalar
ilishida muhokamadan
tasdiqqa tavsiya
tavsiya etilgan
iqtisodiyot kafedrasi
steiermarkischen landesregierung
asarlaringizni yuboring
o'zingizning asarlaringizni
Iltimos faqat
faqat o'zingizning
steierm rkischen
landesregierung fachabteilung
rkischen landesregierung
hamshira loyihasi
loyihasi mavsum
faolyatining oqibatlari
asosiy adabiyotlar
fakulteti ahborot
ahborot havfsizligi
havfsizligi kafedrasi
fanidan bo’yicha
fakulteti iqtisodiyot
boshqaruv fakulteti
chiqarishda boshqaruv
ishlab chiqarishda
iqtisodiyot fakultet
multiservis tarmoqlari
fanidan asosiy
Uzbek fanidan
mavzulari potok
asosidagi multiservis
'aliyyil a'ziym
billahil 'aliyyil
illaa billahil
quvvata illaa
falah' deganida
Kompyuter savodxonligi
bo’yicha mustaqil
'alal falah'
Hayya 'alal
'alas soloh
Hayya 'alas
mavsum boyicha


yuklab olish