en
Feedback
Fsecurity | HH

Fsecurity | HH

Open in Telegram

Канал про ИБ Наш Discord: https://discord.gg/Eg8aDS7Hn7 Пожертвовать: > https://www.donationalerts.com/r/xackapb

Show more
2 008
Subscribers
-324 hours
No data7 days
-630 days
Posts Archive
sticker.webp0.31 KB

Repost from STEIN: ИБ, OSINT
💉 SQL-инъекция: что такое и с чем едят? SQL-инъекция - это атака, которая может привести к компрометации конфиденциальных данных и даже полному захвату системы. Разрабам и сисадминам важно знать об этой угрозе и принимать меры по ее предотвращению. Использование подготовленных инструкций с параметризованными запросами, проверка и очистка входных данных, а также регулярные проверки безопасности могут значительно снизить риск успешной атаки. — Вот пример кода, уязвимого для SQL-инъекций:
<?php
$username = $_POST[“username”];
$password = $_POST[“password”];

$query = “SELECT * FROM users WHERE username = ‘$username’ AND password = ‘$password'”;
$result = mysqli_query($connection, $query);

if (mysqli_num_rows($result) > 0) {
// login successful
} else {
// login failed
}
?>

В этом примере PHP-скрипт пытается аутентифицировать пользователя, сверяя имя пользователя и пароль с записями в таблице «‎users»‎. ❗️ Проблема с этим кодом заключается в том, что он напрямую включает пользовательский ввод ($username и $password) в SQL-запрос без его надлежащей проверки или очистки. Это означает, что в случае инъекции в поля имени пользователя и пароля, он может привести к выполнению непреднамеренных команд. 👁 Например, можно ввести в поле username: admin' --, что привело бы к тому, что запрос стал бы:
SELECT * FROM users WHERE username = ‘admin’ –‘ AND password = ‘whatever_password_entered’

Этот запрос закомментировал бы остальную часть запроса, минуя проверку пароля, следовательно, атака прошла бы успешно. — Чтобы устранить эту уязвимость, вводимые пользователем данные должны быть проверены и обработаны, а для построения SQL-запроса следует использовать инструкции с параметризованными запросами, выглядеть это будет примерно так:
$stmt = $connection->prepare(“SELECT * FROM users WHERE username = ? AND password = ?”);
$stmt->bind_param(“ss”, $username, $password);
$stmt->execute();b

Таким образом, он не будет выполнен как запрос и будет обрабатываться как строка, предотвращая атаки с использованием SQL-инъекций. #SQL #Injection

*доб. Инфа* 👈🏻☝🏻

Кто-то помнит Andrax OS? 🎃 ANDRAX — это платформа для тестирования на проникновение, специально разработанная для смартфонов Android и ARM-плат.
Anonymous voting

Случайно нашел 👾 https://telegra.ph/Manual-po-doksu-09-13

FUSE опробовали на 33 популярных веб-приложениях, в том числе форумах, CMS, корпоративных продуктах и ПО для создания интернет-магазинов. С помощью серии автоматических запросов исследователи воспользовались механизмами загрузки файлов в этих веб-приложениях, пытаясь внедрить различную малварь (PHP, JS, HTML, XHTML, htaccess). 🌐Ссылка: https://github.com/WSP-LAB/FUSE

sticker.webp0.52 KB

Нас уже 700 👾🎊 Огромное спасибо за подписку! 🎉 Желаю всем всего наилучшего! Хорошего дня! Ещё раз спасибо👾

Хочу также посоветовать: Ролик на канале, возможно вы не видели! 1 - Проверить себя на утечки! 💧 2 - Наш discord сервер! Где можно пообщаться 👾 3 - Мой Github 🦑

sticker.webp0.44 KB

👾Статьи для вас: Armitage — это графический интерфейс для управления пентестами. Используя графический интерфейс Armitage, пользователи могут визуализировать сети и цели, а также легко находить и анализировать уязвимости. 1. Зачем ломать свою систему (Armitage+Metasploit) 2. Инструкция по Armitage Maltego — Программное обеспечение, используемое для разведки и криминалистики с открытым исходным кодом, разработанное компанией Paterva из Претории, Южная Африка. Maltego фокусируется на предоставлении зависимостей и обнаружении данных из открытых источников и визуализации этой информации в графическом формате, подходящем для ручного анализа связей, а также датамайна. 3. Я узнаю тебя из тысячи: поиск киберпреступников с помощью Maltego. Приятного чтения 👾📖

Кто-то помнит (s)AINT ? 🎃 🕷️ P.s. тот самый keylogger которому уже 6 лет и заархивированный 5 октября 2020 года
Anonymous voting