شرح ثغرة أمنية في حقن SQL | برنامج TryHackMe Junior لاختبار الاختراق

مقدمة

قمنا بتغطية أنواع ثغرة أمنية في حقن SQL وهي حقن SQL القائم على الخطأ، والوقت، والمحدد، والمنطقي. استخدمنا مسار اختبار الاختراق TryHackMe Junior.

يعد حقن SQL (لغة الاستعلام المنظمة) والذي يشار إليه في الغالب باسم SQLi بمثابة هجوم على خادم قاعدة بيانات تطبيقات الويب مما يؤدي إلى تنفيذ استعلامات ضارة. عندما يتصل تطبيق ويب بقاعدة بيانات باستخدام مدخلات من مستخدم لم يتم التحقق من صحتها بشكل صحيح، فمن المحتمل أن يتمكن المهاجم من سرقة البيانات الخاصة وبيانات العميل أو حذفها أو تغييرها وكذلك مهاجمة طرق مصادقة تطبيقات الويب للحصول على الخصوصية أو مناطق العملاء. ولهذا السبب، بالإضافة إلى كون SQLi واحدة من أقدم نقاط الضعف في تطبيقات الويب، فإنها يمكن أن تكون أيضًا الأكثر ضررًا.

احصل على ملاحظات شهادة OSCP

ما هي قاعدة البيانات؟

قاعدة البيانات هي وسيلة لتخزين مجموعات البيانات إلكترونيًا بطريقة منظمة. يتم التحكم في قاعدة البيانات عن طريق نظام إدارة قواعد البيانات (DBMS) وهو اختصار لعبارة "نظام إدارة قواعد البيانات"، وينقسم نظام إدارة قواعد البيانات (DBMS) إلى معسكرين العلائقية أو غير العلائقية، سيكون تركيز هذه الغرفة على قواعد البيانات العلائقية، وبعض القواعد الشائعة التي ستصادفها هي MySQLو Microsoft SQL Server و Access و PostgreSQL و SQLite. سنشرح الفرق بين قواعد البيانات العلائقية وغير العلائقية في نهاية هذه المهمة، ولكن أولاً، من المهم تعلم بعض المصطلحات.

ضمن نظام إدارة قواعد البيانات (DBMS)، يمكن أن يكون لديك قواعد بيانات متعددة، تحتوي كل منها على مجموعتها الخاصة من البيانات ذات الصلة. على سبيل المثال، قد يكون لديك قاعدة بيانات تسمى "محل". ضمن قاعدة البيانات هذه، تريد تخزين معلومات حول المنتجات المتاحة شراء, المستخدمين الذين قاموا بالتسجيل في متجرك عبر الإنترنت، ومعلومات حول طلبات لقد تلقيت. يمكنك تخزين هذه المعلومات بشكل منفصل في قاعدة البيانات باستخدام شيء يسمى الجداول، ويتم تحديد الجداول باسم فريد لكل منها. يمكنك رؤية هذه البنية في الرسم البياني أدناه، ولكن يمكنك أيضًا معرفة كيف يمكن أن يكون لدى الشركة قواعد بيانات منفصلة أخرى لتخزين معلومات الموظفين أو فريق الحسابات.

أسئلة وأجوبة التحدي

جولة بالفيديو