m, neden çok olduğunu büyük veritabanları. Eh, şeylerden biri yapabilirsiniz Bu akımların bazıları içine kendi SQL kod enjekte edilir ve SQL enjeksiyon sahip sonunda. Sen gerçek SQL istekleri değiştirerek ediyoruz bir veritabanına yapılıyor. Ve bir web ön uç aracılığıyla yapıyoruz. Genellikle veritabanına doğrudan erişim yok. Sen, perde arkasında bir web sunucusuna konuşmak Web sunucusu SQL veritabanına sonra konuşur. Ama önümde web tarayıcısını verebilir Kötü bilgileri daha sonra verir web sunucusuna, vermek SQL Serv

er kötü bilgiler, Daha sonra veritabanından bilgi alabilirsiniz belki geliştirici yapmamı mümkün olması amaçlanmıştır asla. SQL enjeksiyonu bakarsanız, çok yaygın olduğunu ama aynı zamanda enjeksiyon başka tür var. Örneği, XML enjeksiyon için. XML genişletilebilir işaretleme dili için duruyor. Bu aktarmak için bu gün kullanılan çok yaygın bir biçimdir Nokta A ve nokta arasındaki bilgi B. Biz, bilgi transferi, bilgi saklayabilir ve standart bir format var. Bir standart format Çünkü bir fırsat var Burada XML isteklerinin kendi türünü enjekte Bunun içinde ancak bir şeyleri değiştirmek mümkün Ben o web sunucusunda bunları değiştirmek istiyorum. İyi uygulamalar bu XML doğrular, kötü ya da kötü uygulamaların olmaz programlanmış. Ve bu kötü adam için bir fırsat Başvurunuz yapmak var edebilmek için bu XML içine almak belki de bu uygulamayı niyetinde olmadığını şeyler yapmak. Enjeksiyonuna açık kod başka tipi, sık sık, LDAP bu olduğunu görüyoruz. LDAP Hafif Dizin erişim protokolü duruyor. Aslında protokol uzun süre yaratıldı Önce telefon şirketleri tarafından, onlar kolay bir yol gerekir ilk adını erişmek için, kullanıcı adları erişmek için, soyadı, adres ve telefon numarası, ve büyük bir veritabanı olması gerekiyordu. Ve bu nerede gerçekten dizin erişim protokolü bulunuyor geldi. Ne hafif dizin erişim protokolü Şimdi bu gün bizim bilgisayar sistemlerinde neler kullanmış olduğunuz bir ve genellikle ad hizmetleri gibi bir yerde ama bu bkz diğer veritabanları aynı zamanda bu LDAP protokolünü kullanır. Ben kendi LDAP mesajları zanaat olabilir Yani eğer ve, bir LDAP akışı içinde onları eklemek Ben kötü programlanmış bir uygulama etrafında almak mümkün olabilir. En bulunuyor bazı SQL enjeksiyon gerçekleştirmek edelim gidiş bana bir yönetici hesabınıza giriş için izin Yöneticinin parolasını kalmadan. Tabii ki, oldukça güvensiz sistem olurdu ve gerçekten biz kesinlikle kullanıyorsanız bu biridir. Bu WebGoat adlandırılan bu bir dizi çok, çok hassas web uygulamaları. Sen açık web uygulamasından WebGoat indirebilirsiniz www.owasp.org de var güvenlik projesi Bu bir insan kaynakları uygulaması ve ne Ben bir çalışan olarak giriş değil yapmak istiyorum, Ben yönetici olan Neville, olarak giriş istiyorum. Ama bunu yapabilmek için, ben bilgi enjekte gerek veri akımı haline. Ve ben kullanıyorum bu Firefox'ta bir eklenti kullanmak için gidiyorum. Bir indirebilir ve deneyebilirsiniz eklenti var Tamper Data denir. Beni ekrandaki bilgileri değiştirmek için izin verir. Bu veri ekranda görülüyor şekilde değiştirin. Ben bu yüzden biraz daha küçük bu pencereyi yapmak için gidiyorum biz Neler görebilirsiniz. Ne yapmamı sağlar veri olarak ise Ben, bunu durdurmak verileri değiştirebilirsiniz web sunucusuna gider, ve sonra yoluna göndermek. Ve biz aslında diğer yönde ters yapabilirsiniz eğer biz istedik. Ben, kurcalamaya açmak için gidiyorum Ben kurcalamak başlamak için gidiyorum. Her zaman anlamına gelir bir web sunucusuna bilgi göndermek Bunu değiştirmek istiyorsanız bunu sormak için gidiyor. Yani ben bile Neville için bir şifre yazmanız gitmiyorum, Ben sadece, oturum ve diyor ki sabotaj vurmak için gidiyorum Eğer kurcalama devam etmek istersiniz? Will kesinlikle evet, isterim. Çünkü başlığında bu bilgilerin bir parçası olarak ve şifre web sunucusuna gönderilen parametreler Alan Bazı SQL enjeksiyon gerçekleştirmek için gidiyorum. Bazı SQL kodu yazmanız gidiyorum Burada çok, çok kötü bir programlama almak için gidiyor bu özellikle bilgisayarda. Yani bir yerde var SQL kodunu var Ben Tamam 'ı tıklatın ve ne zaman kurcalamaya devam edecek. Eğer bakarsanız, ben şimdi tam erişim ile Neville olarak oturum Herkesin profillere. Bu, bu SQL enjeksiyonu dikkat çekici ve oldukça güçlüdür. SQL injection sorunları ortaya çıktığında Ve bu yüzden, var genellikle çünkü onlar oldukça yıkıcı olduğunu veritabanına erişim sağlayan çok ve genellikle bilgileri size işte Kötü adamlar görmek mümkün istemiyorum.