doc
java
resources
scripts
tomcatconf
webapp
META-INF
WEB-INF
css
database
images
javascript
lesson_plans
English
German
de
en
ru
AccessControlMatrix.html
BackDoors.html
BasicAuthentication.html
BlindSqlInjection.html
BufferOverflow.html
CSRF.html
ChallengeScreen.html
ClientSideFiltering.html
ClientSideValidation.html
CommandInjection.html
ConcurrencyCart.html
CrossSiteScripting.html
CsrfPromptByPass.html
CsrfTokenByPass.html
DBCrossSiteScripting.html
DBSQLInjection.html
DOMInjection.html
DOMXSS.html
DOS_Login.html
DangerousEval.html
Encoding.html
FailOpenAuthentication.html
ForcedBrowsing.html
ForgotPassword.html
HiddenFieldTampering.html
HowToWork.html
HtmlClues.html
HttpBasics.html
HttpOnly.html
HttpSplitting.html
InsecureLogin.html
JSONInjection.html
JavaScriptValidation.html
Lesson_Plan_Template.html
LogSpoofing.html
MultiLevelLogin1.html
MultiLevelLogin2.html
NewLesson.html
PasswordStrength.html
PathBasedAccessControl.html
Phishing.html
ReflectedXSS.html
RemoteAdminFlaw.html
RoleBasedAccessControl.html
SQLInjection.html
SameOriginPolicyProtection.html
SessionFixation.html
SilentTransactions.html
SoapRequest.html
SqlNumericInjection.html
SqlStringInjection.html
StoredXss.html
ThreadSafetyProblem.html
TomcatSetup.html
TraceXSS.html
UncheckedEmail.html
UsefulTools.html
WSDLScanning.html
WeakAuthenticationCookie.html
WeakSessionID.html
WelcomeScreeen.html
WsSAXInjection.html
WsSqlInjection.html
XMLInjection.html
XPATHInjection.html
lesson_solutions
lessons
users
lesson_content.jsp
main.jsp
reportBug.jsp
sideWindow.jsp
webgoat.jsp
webgoat_challenge.jsp
.gitignore
README.txt
build.xml
pom.xml
webgoat for SQL Server.bat
webgoat.bat
webgoat.sh
webgoat_8080.bat
webscarab.bat
git-svn-id: http://webgoat.googlecode.com/svn/branches/webgoat-6.0@485 4033779f-a91e-0410-96ef-6bf7bf53c507
26 lines
2.5 KiB
HTML
26 lines
2.5 KiB
HTML
<div align="Center">
|
||
<p><b>Название темы:</b> Использование слепых SQL-инъекций </p>
|
||
</div>
|
||
|
||
<p><b>Тема для изучения:</b> </p>
|
||
<!-- Start Instructions -->
|
||
SQL-инъекции представляют серьёзную опасность для сайтов, чья работа основывается на БД.
|
||
Методы осуществления таких атак очень просты в освоении и ущерб наносимый ими нельзя недооценивать т.к. злоумышленник
|
||
с их помощью в некоторых случаях может добиться полной компрометации системы.
|
||
Несмотря на всю опасность SQL-инъекций каждый день появляется множество уязвимых к ним веб-приложений.
|
||
<br>
|
||
На самом деле сейчас опасность данного вида уязвимостей сильно преувеличивают. Есть множество способов благодаря которым
|
||
любой разработчик практически полностью может защитить своё приложение от них.
|
||
Вообще проверка всех входящих данных является очень хорошей практикой не только при работе с БД, но и
|
||
в случаях с выполнением команд ОС, скриптов и т.д.
|
||
<br>
|
||
<!-- Stop Instructions -->
|
||
|
||
<p><b>Главная цель(и):</b> </p>
|
||
Форма, расположенная ниже, позволяет пользователю вводить номер аккаунта и проверять действителен он или нет.
|
||
Воспользуйтесь данной формой для того чтоб через уязвимость на стороне сервера получить
|
||
возможность извлекать произвольные данные из БД.
|
||
<br><br>Ascii-значения символов которые могут вам понадобиться: 'A' = 65 'Z' = 90 'a' = 97 'z' = 122
|
||
<br><br>Целью является получение содержимого поля first_name в таблице user_data для записи с номером 15613.
|
||
Поместите его имя в эту форму для того чтоб закончить урок.
|