Fsecurity | HH
Kanalga Telegram’da o‘tish
Канал про ИБ Наш Discord: https://discord.gg/Eg8aDS7Hn7 Пожертвовать: > https://www.donationalerts.com/r/xackapb
Ko'proq ko'rsatish2 008
Obunachilar
-324 soatlar
Ma'lumot yo'q7 kunlar
-630 kunlar
Postlar arxiv
2 008
Repost from STEIN: ИБ, OSINT
💉 SQL-инъекция: что такое и с чем едят?
SQL-инъекция - это атака, которая может привести к компрометации конфиденциальных данных и даже полному захвату системы.
Разрабам и сисадминам важно знать об этой угрозе и принимать меры по ее предотвращению. Использование подготовленных инструкций с параметризованными запросами, проверка и очистка входных данных, а также регулярные проверки безопасности могут значительно снизить риск успешной атаки.
— Вот пример кода, уязвимого для SQL-инъекций:
<?php
$username = $_POST[“username”];
$password = $_POST[“password”];
$query = “SELECT * FROM users WHERE username = ‘$username’ AND password = ‘$password'”;
$result = mysqli_query($connection, $query);
if (mysqli_num_rows($result) > 0) {
// login successful
} else {
// login failed
}
?>
В этом примере PHP-скрипт пытается аутентифицировать пользователя, сверяя имя пользователя и пароль с записями в таблице «users».
❗️ Проблема с этим кодом заключается в том, что он напрямую включает пользовательский ввод ($username и $password) в SQL-запрос без его надлежащей проверки или очистки. Это означает, что в случае инъекции в поля имени пользователя и пароля, он может привести к выполнению непреднамеренных команд.
👁 Например, можно ввести в поле username: admin' --, что привело бы к тому, что запрос стал бы:
SELECT * FROM users WHERE username = ‘admin’ –‘ AND password = ‘whatever_password_entered’Этот запрос закомментировал бы остальную часть запроса, минуя проверку пароля, следовательно, атака прошла бы успешно. — Чтобы устранить эту уязвимость, вводимые пользователем данные должны быть проверены и обработаны, а для построения SQL-запроса следует использовать инструкции с параметризованными запросами, выглядеть это будет примерно так:
$stmt = $connection->prepare(“SELECT * FROM users WHERE username = ? AND password = ?”); $stmt->bind_param(“ss”, $username, $password); $stmt->execute();bТаким образом, он не будет выполнен как запрос и будет обрабатываться как строка, предотвращая атаки с использованием SQL-инъекций. #SQL #Injection
2 008
Кто-то помнит Andrax OS? 🎃
ANDRAX — это платформа для тестирования на проникновение, специально разработанная для смартфонов Android и ARM-плат.
2 008
FUSE опробовали на 33 популярных веб-приложениях, в том числе форумах, CMS, корпоративных продуктах и ПО для создания интернет-магазинов. С помощью серии автоматических запросов исследователи воспользовались механизмами загрузки файлов в этих веб-приложениях, пытаясь внедрить различную малварь (PHP, JS, HTML, XHTML, htaccess).
🌐Ссылка:
https://github.com/WSP-LAB/FUSE
2 008
Нас уже 700 👾🎊
Огромное спасибо за подписку! 🎉
Желаю всем всего наилучшего!
Хорошего дня!
Ещё раз спасибо👾
2 008
Хочу также посоветовать:
Ролик на канале, возможно вы не видели!
1 - Проверить себя на утечки! 💧
2 - Наш discord сервер! Где можно пообщаться 👾
3 - Мой Github 🦑
2 008
👾Статьи для вас:
Armitage — это графический интерфейс для управления пентестами.
Используя графический интерфейс Armitage, пользователи могут визуализировать сети и цели, а также легко находить и анализировать уязвимости.
1. Зачем ломать свою систему (Armitage+Metasploit)
2. Инструкция по Armitage
Maltego — Программное обеспечение, используемое для разведки и криминалистики с открытым исходным кодом, разработанное компанией Paterva из Претории, Южная Африка. Maltego фокусируется на предоставлении зависимостей и обнаружении данных из открытых источников и визуализации этой информации в графическом формате, подходящем для ручного анализа связей, а также датамайна.
3. Я узнаю тебя из тысячи: поиск киберпреступников с помощью Maltego.
Приятного чтения 👾📖
2 008
Кто-то помнит (s)AINT ? 🎃
🕷️ P.s. тот самый keylogger которому уже 6 лет и заархивированный 5 октября 2020 года
