Den dritten Teil, in dem die Sicherheitslücke bei der String-SQL-Injection behandelt wird, haben wir mithilfe des OWASP WebGoat-Labors abgedeckt.
String-SQL-Injection kann leicht von Anwendungen ausgenutzt werden, die Abfragen dynamisch erstellen, indem sie Zeichenfolgen zusammenfügen. Wenn die Eingabe eine Zeichenfolge akzeptiert, die als Zeichenfolgenparameter an die Abfrage übergeben wird, können Sie die Build-Abfrage schnell ändern, indem Sie die Zeichenfolge entsprechend Ihren Anforderungen formen, indem Sie sie in Anführungszeichen einschließen. Sie könnten beispielsweise Anführungszeichen verwenden, um den Zeichenfolgenparameter abzuschließen, und dann Ihr eigenes SQL eingeben.
Holen Sie sich Hinweise zum OSCP-Zertifikat
Der komplette praktische Kurs zum Penetrationstest von Webanwendungen
Video-Komplettlösung