teknik injeksi terdiri dari injeksi query SQL atau perintah menggunakan field input dari aplikasi. Sebuah SQL injection berhasil dapat membaca, memodifikasi data sensitif dari database dan juga dapat menghapus data dari database.
teknik injeksi terdiri dari injeksi query SQL atau perintah menggunakan field input dari aplikasi. Sebuah SQL injection berhasil dapat membaca, memodifikasi data sensitif dari database dan juga dapat menghapus data dari database. Hal ini juga memungkinkan peretas untuk melakukan operasi administrasi pada database seperti shutdown DBMS / menjatuhkan database.
Mari kita memahami Agen Ancaman, serangan Vektor, Keamanan Kelemahan, Teknis Dampak dan Dampak Bisnis cacat ini dengan bantuan diagram sederhana.

Contoh
Aplikasi ini menggunakan data yang tidak dipercaya dalam pembangunan mengikuti panggilan SQL rentan
String query = "SELECT * FROM EMP WHERE EMPID='" + request.getParameter("id") + "'";
HANDS ON
1. Arahkan ke daerah SQL Injection aplikasi seperti yang ditunjukkan di bawah ini.

2. Seperti yang diberikan dalam latihan, kami akan menggunakan String SQL Injection untuk otentikasi memotong. Gunakan SQL injection untuk login sebagai bos ('Neville') tanpa menggunakan password yang benar. Pastikan profil Neville dapat dilihat dan bahwa semua fungsi yang tersedia (termasuk Search, Buat, dan Hapus).
3. Kami akan Suntikkan SQL sehingga kita mampu melewati password dengan mengirimkan parameter sebagai 'a' = 'a' atau 1 = 1

4. Post Exploitation we are able to login as Neville who is the Admin as shown below.

Pencegahan dari Serangan SQL Injection
Ada banyak cara untuk mencegah SQL injection. Ketika pengembang menulis kode mereka harus memastikan bahwa mereka menangani karakter khusus sesuai. Ada lembar / teknik pencegahan curang tersedia dari OWASP yang pasti pedoman bagi pengembang.
- Menggunakan Parameterized Query
- Melarikan diri semua pengguna Disediakan Masukan
- Aktifkan Least Privilege untuk database untuk pengguna akhir
COMMENTS