شرح طريقة اختراق المواقع بتغرة sql

  • تعليق

في  البدآيه كنت قد طرحت سابقا موضوع وقلت فيه بـ أني سوف اقوم بعمل دوره متكامله لاختراق المواقع
ولكن للاسف اشغلتني بعض الضروف اللتي امر بها ..
نبــدأ في مــوضوعنــآ ألأول..
موضوعنـآ اليوم يتكلم عن اختراق المواقع عن طريق ثغرة السيكول إنجكشن ( برنامج havij ) وببساطه
سـؤال : ماهي ثغرة sql injection ؟؟ ومامدى خطورتها ؟!!
الاجـآبه : ثغرة sql او (سيكول ) أو ( ثغرة الحقن ) -- بمسمياتها -- ثغره خطيره جدا وقويه ..



وهي تمكن المخترق من الوصول والاستيلاء على قاعدة البيانات ( database )
وتمكنه من قراءة اسماء الدخول والارقام السريه والايميلات المسجله
وبذلك .. بامكانه اخذ اسم ورقم صاحب الموقع السري والدخـول بها .. ومن ثم اختراق الموقع

------------------
سؤال : كيف نعرف ان الموقع مصاب بها ؟؟!!
الاجابــه : ببسـآطه نضيف بعد المتغير العلامه اللتي بين القوسين ( ' ) وهي الموجوده في حرف الطاء بـ الكيبورد ولكن بـ اللغه الانجليزيه
والمتغير هـو آخر الرابط .. مثلا
رابط الملف الشخصي للعضـو ( مجاديف شاعر ) هـو
http://www.banymughaid.com/vb/member.php?u=3852والمتغير فيه هـو ( u=3852 ) فـ أنت تستطيع تغيير الرقم ( المتغير ) الى 3496 مثلا
وبذلك غيرت الرقم الى رقم عضوية ( مغيدي وافتخر )
ولكن لله الحمد موقعنا غير مصاب
نـأخذ مثال مباشر على موقع اسباني مصاب :
( إنسخـو الرابط وخشـو عليـه بـ المتصفح )
http://www.cta-enginyeria.com/subseccion.php?id=1مثل مارأينا هذا هـي صورة الموقع

http://im13.gulfup.com/2012-01-29/132780956631.jpg

الان نقوم بـ إضافة علامة ( ' ) بعد المتغير .. فيصبح الرابط هكذا
http://www.cta-enginyeria.com/subseccion.php?id=1'نشــوف الان شكل المــوقع !!

http://im13.gulfup.com/2012-01-29/1327809566572.jpg

تغير شكل الموقع وطلع لنـآ خطأ يثبت لنا ان الموقع المصاب ( ياسلام )
شـوف الخطأ مكتــوب
Warning: mysql_fetch_array(): supplied argument is not a valid MySQL result resource in /home/cta/domains/cta-enginyeria.com/public_html/subseccion.php on line 17اذا شفنا كلمة Warning: mysql فهذا يعني ان الموقع مصاب 100%

هدا فيديو يشرح طرقة اختراق موقع بهده التغرة و تيير اندكس الستقبال





ads


شاهد ايضا ( فيديو مشابه )