6a96547ef0
git-svn-id: http://webgoat.googlecode.com/svn/branches/webgoat-6.0@485 4033779f-a91e-0410-96ef-6bf7bf53c507
26 lines
2.5 KiB
HTML
26 lines
2.5 KiB
HTML
<div align="Center">
|
||
<p><b>Название темы:</b> Использование слепых SQL-инъекций </p>
|
||
</div>
|
||
|
||
<p><b>Тема для изучения:</b> </p>
|
||
<!-- Start Instructions -->
|
||
SQL-инъекции представляют серьёзную опасность для сайтов, чья работа основывается на БД.
|
||
Методы осуществления таких атак очень просты в освоении и ущерб наносимый ими нельзя недооценивать т.к. злоумышленник
|
||
с их помощью в некоторых случаях может добиться полной компрометации системы.
|
||
Несмотря на всю опасность SQL-инъекций каждый день появляется множество уязвимых к ним веб-приложений.
|
||
<br>
|
||
На самом деле сейчас опасность данного вида уязвимостей сильно преувеличивают. Есть множество способов благодаря которым
|
||
любой разработчик практически полностью может защитить своё приложение от них.
|
||
Вообще проверка всех входящих данных является очень хорошей практикой не только при работе с БД, но и
|
||
в случаях с выполнением команд ОС, скриптов и т.д.
|
||
<br>
|
||
<!-- Stop Instructions -->
|
||
|
||
<p><b>Главная цель(и):</b> </p>
|
||
Форма, расположенная ниже, позволяет пользователю вводить номер аккаунта и проверять действителен он или нет.
|
||
Воспользуйтесь данной формой для того чтоб через уязвимость на стороне сервера получить
|
||
возможность извлекать произвольные данные из БД.
|
||
<br><br>Ascii-значения символов которые могут вам понадобиться: 'A' = 65 'Z' = 90 'a' = 97 'z' = 122
|
||
<br><br>Целью является получение содержимого поля first_name в таблице user_data для записи с номером 15613.
|
||
Поместите его имя в эту форму для того чтоб закончить урок.
|