Justin Clarke Lead Author and Technical Editor Rodrigo Marcos Alvarez Dave Hartley Joseph Hemler Alexander Kornbrust Haroon Meer Gary O’Leary-Steele Alberto Revelli Marco Slaviero Dafydd Stuttard


Testing for SQL Injection • Chapter 2



Download 6,54 Mb.
Pdf ko'rish
bet52/64
Sana12.07.2022
Hajmi6,54 Mb.
#784293
1   ...   48   49   50   51   52   53   54   55   ...   64
Bog'liq
SQL Injection Attacks and Defense.pdf ( PDFDrive )

 
Testing for SQL Injection • Chapter 2
 
41
The preceding example illustrates the scenario of a request from the user which triggers 
an error on the database. Depending on how the application is coded, the file returned in 
step 4 will be constructed and handled as a result of one of the following:
The SQL error is displayed on the page and is visible to the user from the 

Web browser.
The SQL error is hidden in the source of the Web page for debugging purposes.

Redirection to another page is used when an error is detected.

An HTTP error code 500 (Internal Server Error) or HTTP redirection code 302

is returned.
The application handles the error properly and simply shows no results, perhaps 

displaying a generic error page.
When you are trying to identify an SQL injection vulnerability you need to determine 
the type of response the application is returning. In the next few sections, we will focus on 
the most common scenarios that you may encounter. The ability to identify the remote 
database is paramount to successfully progressing an attack and moving on from identification 
of the vulnerability to further exploitation.
Commonly Displayed SQL Errors
In the previous section, you saw that applications react differently when the database returns 
an error. When you are trying to identify whether a specific input triggered an SQL 
vulnerability, the Web server error messages can be very useful. Your best scenario is an 
application returning the full SQL error, although this does not always occur.
The following examples will help you to familiarize yourself with some of the most 
typical errors. You will see that SQL errors commonly refer to unclosed quotes. This is 
because SQL requires enclosure of alphanumeric values between single quotes. You will see 
some examples of typical errors with a simple explanation of what caused the error.
Microsoft SQL Server Errors
As you saw previously, injecting a single quote into alphanumeric parameters could result in 
a database error. In this section, you will see that the exact same entry can lead to different 
results.
Consider the following request:
http://www.victim.com/showproducts.aspx?category=attacker'
The error returned from the remote application will be similar to the following:
Server Error in '/' Application.
Unclosed quotation mark before the character string 'attacker;'.
Description: An unhandled exception occurred during the execution of the


Download 6,54 Mb.

Do'stlaringiz bilan baham:
1   ...   48   49   50   51   52   53   54   55   ...   64



Ma'lumotlar bazasi mualliflik huquqi bilan himoyalangan ©hozir.org 2024
ma'muriyatiga murojaat qiling
kiriting | ro'yxatdan o'tish
    Bosh sahifa
юртда тантана
Боғда битган
Бугун юртда
Эшитганлар жилманглар
Эшитмадим деманглар
битган бодомлар
Yangiariq tumani
qitish marakazi
Raqamli texnologiyalar
ilishida muhokamadan
tasdiqqa tavsiya
tavsiya etilgan
iqtisodiyot kafedrasi
steiermarkischen landesregierung
asarlaringizni yuboring
o'zingizning asarlaringizni
Iltimos faqat
faqat o'zingizning
steierm rkischen
landesregierung fachabteilung
rkischen landesregierung
hamshira loyihasi
loyihasi mavsum
faolyatining oqibatlari
asosiy adabiyotlar
fakulteti ahborot
ahborot havfsizligi
havfsizligi kafedrasi
fanidan bo’yicha
fakulteti iqtisodiyot
boshqaruv fakulteti
chiqarishda boshqaruv
ishlab chiqarishda
iqtisodiyot fakultet
multiservis tarmoqlari
fanidan asosiy
Uzbek fanidan
mavzulari potok
asosidagi multiservis
'aliyyil a'ziym
billahil 'aliyyil
illaa billahil
quvvata illaa
falah' deganida
Kompyuter savodxonligi
bo’yicha mustaqil
'alal falah'
Hayya 'alal
'alas soloh
Hayya 'alas
mavsum boyicha

yuklab olish