TAILIEUCHUNG - Tấn công kiểu SQL Injection và các phòng chống trong ASP.NET

SQL Injection là một trong những kiểu hack web đang dần trở nên phổ biến hiện nay. 1. SQL Injection là gì? SQL Injection là một trong những kiểu hack web đang dần trở nên phổ biến hiện nay. Bằng cách inject các mã SQL query/command vào input trước khi chuyển cho ứng dụng web xử lí, bạn có thể login mà không cần username và password, remote execution, dump data và lấy root của SQL server. Công cụ dùng để tấn công là một trình duyệt web bất kì, chẳng hạn như Internet Explorer, Netscape, Lynx, . 2. Tìm. | Tấn công kiểu SQL Injection và các phòng chống trong SQL Injection là một trong những kiểu hack web đang dần trở nên phổ biến fil hiệT . 1. SQL Injection là gì SQL Injection là một trong những kiểu hack web đang dần trở nên phổ biến hiện nay. Bằng cách inject các mã SQL query command vào input trước khi chuyển cho ứng dụng web xử lí bạn có thể login mà không cần username và password remote execution dump data và lấy root của SQL server. Công cụ dùng để tấn công là một trình duyệt web bất kì chẳng hạn như Internet Explorer Netscape Lynx . 2. Tìm kiếm mục tiêu Có thể tìm các trang web cho phép submit dữ liệu ở bất kì một trình tìm kiếm nào trên mạng chẳng hạn như các trang login search feedback . Ví dụ http id 10 Một số trang web chuyển tham số qua các field ẩn phải xem mã HTML mới thấy rõ. Ví dụ như ở dưới. FORM action Search method post input type hidden name A value C FORM 3. Kiểm tra chỗ yếu của trang web Thử submit các field username password hoặc field id . bằng hi or 1 1-- Login hi or 1 1-- Password hi or 1 1-- url http id hi url or 1 1-- Nếu site chuyển tham số qua field ẩn hãy download source HTML lưu trên đĩa cứng và thay đổi lại URL cho phù hợp. Ví dụ FORM action http Search method post input type hidden name A value hi or 1 1-- FORM Nếu thành công thì có thể login vào mà không cần phải biết username và password 4. Tại sao or 1 1-- có thể vượt qua phần kiểm tra đăng nhập Giả sử như có một trang ASP liên kết đến một ASP trang khác với URL như sau http cateqorv food Trong URL trên biến category được gán giá trị là food . Mã ASP của trang này có thể như sau đây chỉ là ví dụ thôi v_cat request category sqlstr SELECT FROM product WHERE PCategory v_cat . set rs sqlstr v_cat sẽ chứa giá trị của biến request category là food và câu lệnh SQL tiếp theo sẽ là SELECT FROM product WHERE PCategory food Dòng query trên sẽ trả về một tập resultset .

• Kỹ thuật lập trình
• Kỹ thuật lập trình
• Phần cứng
• Công nghệ thông tin
• Tin học
• Quản trị mạng
• kỹ thuật máy tính C
• kỹ thuật lập trình C
• giáo trình kỹ thuật lập trình C
• bài tập kỹ thuật lập trình C
• tài liệu kỹ thuật lập trình C
• chuyên ngành kỹ thuật lập trình
• Bài tập kỹ thuật lập trình
• Tài liệu kỹ thuật lập trình
• Bài giảng kỹ thuật lập trình
• Ưng dụng kỹ thuật lập trình
• Ngôn ngữ C
• kỹ thuật máy tính
• môn kỹ thuật lập trình
• ôn tập kỹ thuật lập trình
• cách học kỹ thuật lập trình
• kiến thức kỹ thuật lập trình
• học môn kỹ thuật lập trình
• Đề thi Kỹ thuật lập trình cơ bản
• Câu hỏi Kỹ thuật lập trình cơ bản
• Luyện thi Kỹ thuật lập trình cơ bản
• Ôn thi Kỹ thuật lập trình cơ bản
• Bài thi Kỹ thuật lập trình cơ bản
• Tài liệu Kỹ thuật lập trình cơ bản
• giáo trình kỹ thuật lập trình
• thủ thuật lập trình
• lập trình căn bản
• kỹ thuật phần mềm
• chương trình lập trình
• giáo trình lập trình
• lập trình hướng đối tượng
• tài liệu lập trình
• chuyên ngành lập trình
• tổng quan về lập trình
• Tổng quan về kỹ thuật lập trình
• Lập trình tốt
• Nguyên tắc lập trình
• Ngôn ngữ lập trình
• ngôn ngữ C++
• Kỹ thuật lập trình căn bản
• Kỹ thuật lập trình nâng cao
• Lập trình C căn bản
• Lập trình C nâng cao