11 EYLÜL 2014, PERŞEMBE

Sql Injection, Xml Enjeksiyon Ve Ldap Enjeksiyon - Sık Güvenlik + Sy0-401: 3.5

Kod enjeksiyon saldırısı türüdür Kendi içine kendi kodunuzu alıyorsun nerede istismar ve senin varolan bir veri akışı içinde gömüyor. Bir web sitesinden yapmak mümkün olabilir. Siz paketleri manipüle ederek bunu mümkün olabilir onlar tarafından gidiyoruz. Orada birçok farklı araçlar yapmak mümkün. Ve kod birçok farklı türde var Bu Kullanmak ve veri akışı içine enjekte edebilir. Bu genellikle etkin ya da bir şey olduğu Biri çünkü bir istismar olarak kullanıma hazır Program kodlama kötü bir iş yaptı. Normalde uygulamaları görünmelidir insanlar girdi olarak kullanan ne ve bunu temizlemek ve emi

n olun insanlar Bu enjeksiyon tipi güvenlik açıklarından faydalanarak yapmayız. Eğer filtreleme yapıyor ve eğer Ama sen düzgün sen Bir uygulamadan giriş ve çıkışları taşıma, Eğer bilgi kendi türünü enjekte etmek mümkün olmamalı

dır Bu ortasına. Çok farklı veri tipleri var. İnsanlar, SQL trafik, HTML veri enjeksiyonu yapmak XML, LDAP. Kendi küçük parça koymak için birçok farklı yolu var Bir dere içinde bilgi almak için denemek için

“Http://www.FreeSecurityPlus.com CompTIA Security + videoları benim tüm indeksi bak Veritabanı güvenliği bazen kötü tasarlanmış yazılım tarafından atlatılabilir. ...”
Professor Messer

olabilir bazı güvenlik. Biz büyük kurumsal veritabanları hakkında düşündüğümüz zaman, Biz genellikle SQL tabanlı veritabanları hakkında düşünüyorum. Bu SQL olduğunu. Yapılandırılmış sorgu dili için standları. Bu, pek çok bu çok yaygın bir dildir dışarı büyük veritabanları orada kullanacağız. Sen ilişkisel veritabanı yönetim sistemlerinde bu görürsünüz. Bu çok, çok yaygın bir veritabanı dili var ve çok güçlü bir veritabanı dili var, hangi biz çok bunlardan bazılarını görüyoru

Sql Injection, Xml Enjeksiyon Ve Ldap Enjeksiyon - Sık Güvenlik + Sy0-401: 3.5 Resim 1 Sql Injection, Xml Enjeksiyon Ve Ldap Enjeksiyon - Sık Güvenlik + Sy0-401: 3.5 Resim 2 Sql Injection, Xml Enjeksiyon Ve Ldap Enjeksiyon - Sık Güvenlik + Sy0-401: 3.5 Resim 3 Sql Injection, Xml Enjeksiyon Ve Ldap Enjeksiyon - Sık Güvenlik + Sy0-401: 3.5 Resim 4

m, neden çok olduğunu büyük veritabanları. Eh, şeylerden biri yapabilirsiniz Bu akımların bazıları içine kendi SQL kod enjekte edilir ve SQL enjeksiyon sahip sonunda. Sen gerçek SQL istekleri değiştirerek ediyoruz bir veritabanına yapılıyor. Ve bir web ön uç aracılığıyla yapıyoruz. Genellikle veritabanına doğrudan erişim yok. Sen, perde arkasında bir web sunucusuna konuşmak Web sunucusu SQL veritabanına sonra konuşur. Ama önümde web tarayıcısını verebilir Kötü bilgileri daha sonra verir web sunucusuna, vermek SQL Serv

er kötü bilgiler, Daha sonra veritabanından bilgi alabilirsiniz belki geliştirici yapmamı mümkün olması amaçlanmıştır asla. SQL enjeksiyonu bakarsanız, çok yaygın olduğunu ama aynı zamanda enjeksiyon başka tür var. Örneği, XML enjeksiyon için. XML genişletilebilir işaretleme dili için duruyor. Bu aktarmak için bu gün kullanılan çok yaygın bir biçimdir Nokta A ve nokta arasındaki bilgi B. Biz, bilgi transferi, bilgi saklayabilir ve standart bir format var. Bir standart format Çünkü bir fırsat var Burada XML isteklerinin kendi türünü enjekte Bunun içinde ancak bir şeyleri değiştirmek mümkün Ben o web sunucusunda bunları değiştirmek istiyorum. İyi uygulamalar bu XML doğrular, kötü ya da kötü uygulamaların olmaz programlanmış. Ve bu kötü adam için bir fırsat Başvurunuz yapmak var edebilmek için bu XML içine almak belki de bu uygulamayı niyetinde olmadığını şeyler yapmak. Enjeksiyonuna açık kod başka tipi, sık sık, LDAP bu olduğunu görüyoruz. LDAP Hafif Dizin erişim protokolü duruyor. Aslında protokol uzun süre yaratıldı Önce telefon şirketleri tarafından, onlar kolay bir yol gerekir ilk adını erişmek için, kullanıcı adları erişmek için, soyadı, adres ve telefon numarası, ve büyük bir veritabanı olması gerekiyordu. Ve bu nerede gerçekten dizin erişim protokolü bulunuyor geldi. Ne hafif dizin erişim protokolü Şimdi bu gün bizim bilgisayar sistemlerinde neler kullanmış olduğunuz bir ve genellikle ad hizmetleri gibi bir yerde ama bu bkz diğer veritabanları aynı zamanda bu LDAP protokolünü kullanır. Ben kendi LDAP mesajları zanaat olabilir Yani eğer ve, bir LDAP akışı içinde onları eklemek Ben kötü programlanmış bir uygulama etrafında almak mümkün olabilir. En bulunuyor bazı SQL enjeksiyon gerçekleştirmek edelim gidiş bana bir yönetici hesabınıza giriş için izin Yöneticinin parolasını kalmadan. Tabii ki, oldukça güvensiz sistem olurdu ve gerçekten biz kesinlikle kullanıyorsanız bu biridir. Bu WebGoat adlandırılan bu bir dizi çok, çok hassas web uygulamaları. Sen açık web uygulamasından WebGoat indirebilirsiniz www.owasp.org de var güvenlik projesi Bu bir insan kaynakları uygulaması ve ne Ben bir çalışan olarak giriş değil yapmak istiyorum, Ben yönetici olan Neville, olarak giriş istiyorum. Ama bunu yapabilmek için, ben bilgi enjekte gerek veri akımı haline. Ve ben kullanıyorum bu Firefox'ta bir eklenti kullanmak için gidiyorum. Bir indirebilir ve deneyebilirsiniz eklenti var Tamper Data denir. Beni ekrandaki bilgileri değiştirmek için izin verir. Bu veri ekranda görülüyor şekilde değiştirin. Ben bu yüzden biraz daha küçük bu pencereyi yapmak için gidiyorum biz Neler görebilirsiniz. Ne yapmamı sağlar veri olarak ise Ben, bunu durdurmak verileri değiştirebilirsiniz web sunucusuna gider, ve sonra yoluna göndermek. Ve biz aslında diğer yönde ters yapabilirsiniz eğer biz istedik. Ben, kurcalamaya açmak için gidiyorum Ben kurcalamak başlamak için gidiyorum. Her zaman anlamına gelir bir web sunucusuna bilgi göndermek Bunu değiştirmek istiyorsanız bunu sormak için gidiyor. Yani ben bile Neville için bir şifre yazmanız gitmiyorum, Ben sadece, oturum ve diyor ki sabotaj vurmak için gidiyorum Eğer kurcalama devam etmek istersiniz? Will kesinlikle evet, isterim. Çünkü başlığında bu bilgilerin bir parçası olarak ve şifre web sunucusuna gönderilen parametreler Alan Bazı SQL enjeksiyon gerçekleştirmek için gidiyorum. Bazı SQL kodu yazmanız gidiyorum Burada çok, çok kötü bir programlama almak için gidiyor bu özellikle bilgisayarda. Yani bir yerde var SQL kodunu var Ben Tamam 'ı tıklatın ve ne zaman kurcalamaya devam edecek. Eğer bakarsanız, ben şimdi tam erişim ile Neville olarak oturum Herkesin profillere. Bu, bu SQL enjeksiyonu dikkat çekici ve oldukça güçlüdür. SQL injection sorunları ortaya çıktığında Ve bu yüzden, var genellikle çünkü onlar oldukça yıkıcı olduğunu veritabanına erişim sağlayan çok ve genellikle bilgileri size işte Kötü adamlar görmek mümkün istemiyorum.

Açıklama

Http://www.FreeSecurityPlus.com CompTIA Security + videoları benim tüm indeksi bak Veritabanı güvenliği bazen kötü tasarlanmış yazılım tarafından atlatılabilir. Bu videoda, SQL enjeksiyon, XML enjeksiyonu ve LDAP enjeksiyonu en güvenli veri tabanlarından veri alabilirsiniz öğreneceksiniz.

Bunu Paylaş:
  • Google+
  • E-Posta
Etiketler:

Professor Messer

Professor Messer

Profesör Messer CompTIA A +, Network +, Güvenlik +, Linux + ve diğer BT sertifikalar için internetin en kapsamlı bir seçimdir. Profesör Messer sertifikasyon tüm videoları çevrimiçi yayınlanmıştır ve burada YouTube'da her videonun her dakika izleyebilirsiniz.

YORUMLAR



10/10

  • 10
    Olumlu
  • 0
    Olumsuz
  • 0
    Yorum
  • 5251
    Gösterim

SPONSOR VİDEO

Rastgele Yazarlar

  • Māris Zaharovs

    Māris Zahar

    28 Mayıs 2008
  • RocketJump

    RocketJump

    22 ŞUBAT 2006
  • THE RED DRAGON

    THE RED DRAG

    6 ŞUBAT 2009

ANKET



Bu sayfa işinize yaradı mı?