Den dritten Teil, in dem die Sicherheitslücke bei der String-SQL-Injection behandelt wird, haben wir mithilfe des OWASP WebGoat-Labors abgedeckt.

String-SQL-Injection kann leicht von Anwendungen ausgenutzt werden, die Abfragen dynamisch erstellen, indem sie Zeichenfolgen zusammenfügen. Wenn die Eingabe eine Zeichenfolge akzeptiert, die als Zeichenfolgenparameter an die Abfrage übergeben wird, können Sie die Build-Abfrage schnell ändern, indem Sie die Zeichenfolge entsprechend Ihren Anforderungen formen, indem Sie sie in Anführungszeichen einschließen. Sie könnten beispielsweise Anführungszeichen verwenden, um den Zeichenfolgenparameter abzuschließen, und dann Ihr eigenes SQL eingeben.

Holen Sie sich Hinweise zum OSCP-Zertifikat

Der komplette praktische Kurs zum Penetrationstest von Webanwendungen

Video-Komplettlösung

CTF-Beschreibungen, OWASP, Penetrationstests, SQL-Inektion

Anmerkungen anzeigen

Motasem

Über den Autor

Ich erstelle Notizen zur Cybersicherheit, Notizen zum digitalen Marketing und Online-Kurse. Ich biete auch Beratung zum digitalen Marketing an, einschließlich, aber nicht beschränkt auf SEO, Google- und Meta-Anzeigen und CRM-Verwaltung.

Artikel anzeigen

Erläuterung der String-SQL-Injection-Sicherheitslücke | EP3 | OWASP WebGoat

Schreiben Sie einen Kommentar Antworten abbrechen

Motasem

Über den Autor

Andere Geschichten

XML External Entity Injection erklärt | EP1 | OWASP WebGoat

1922 Movie Explained | Recap & Summary

Drücken Sie ESC zum Schließen

Erläuterung der String-SQL-Injection-Sicherheitslücke | EP3 | OWASP WebGoat

Schreiben Sie einen Kommentar Antworten abbrechen

Motasem

Über den Autor

Artikel teilen:

Andere Geschichten

XML External Entity Injection erklärt | EP1 | OWASP WebGoat

1922 Movie Explained | Recap & Summary