Einführung

Wir haben die Arten von SQL-Injection-Sicherheitslücke nämlich fehlerbasierte, zeitbasierte, blinde und boolesche SQL-Injection. Wir haben den TryHackMe Junior Penetration Tester-Pfad verwendet.

SQL (Structured Query Language) Injection, meist als SQLi bezeichnet, ist ein Angriff auf den Datenbankserver einer Webanwendung, der dazu führt, dass bösartige Abfragen ausgeführt werden. Wenn eine Webanwendung mit einer Datenbank kommuniziert und dabei Benutzereingaben verwendet, die nicht ordnungsgemäß validiert wurden, besteht die Möglichkeit, dass ein Angreifer private und Kundendaten stehlen, löschen oder ändern und auch die Authentifizierungsmethoden der Webanwendung für private oder Kundenbereiche angreifen kann. Aus diesem Grund ist SQLi nicht nur eine der ältesten Schwachstellen von Webanwendungen, sondern kann auch die schädlichste sein.

Holen Sie sich Hinweise zum OSCP-Zertifikat

Was ist eine Datenbank?

Eine Datenbank ist eine Möglichkeit, Datensammlungen elektronisch und organisiert zu speichern. Eine Datenbank wird von einem DBMS gesteuert, was ein Akronym für Database Management System ist. DBMS lassen sich in zwei Lager unterteilen. Relational oder Nicht-relational, der Schwerpunkt dieses Raumes liegt auf relationalen Datenbanken, einige häufige Datenbanken, auf die Sie stoßen werden, sind MySQL, Microsoft SQL Server, Access, PostgreSQL und SQLite. Wir werden den Unterschied zwischen relationalen und nicht-relationalen Datenbanken am Ende dieser Aufgabe erklären, aber zuerst ist es wichtig, ein paar Begriffe zu lernen.

 

Innerhalb eines DBMS können Sie mehrere Datenbanken haben, von denen jede ihren eigenen Satz verwandter Daten enthält. Sie können beispielsweise eine Datenbank namens „Geschäft„. In dieser Datenbank möchten Sie Informationen über Produkte speichern, die für kaufenBenutzer die sich bei Ihrem Online-Shop angemeldet haben, und Informationen über die Aufträge Sie haben erhalten. Sie speichern diese Informationen separat in der Datenbank mithilfe sogenannter Tabellen. Jede Tabelle hat einen eindeutigen Namen. Sie können diese Struktur im folgenden Diagramm sehen, aber Sie können auch sehen, wie ein Unternehmen möglicherweise andere separate Datenbanken hat, um Mitarbeiterinformationen oder das Buchhaltungsteam zu speichern.

Fragen und Antworten zur Herausforderung

Wie lautet die Abkürzung für die Software, die eine Datenbank steuert?

Wie heißt die gitterartige Struktur, die die Daten enthält?

Welche SQL-Anweisung wird zum Abrufen von Daten verwendet?

Mit welcher SQL-Klausel können Daten aus mehreren Tabellen abgerufen werden?

Welche SQL-Anweisung wird zum Hinzufügen von Daten verwendet?

Welches Zeichen kennzeichnet das Ende einer SQL-Abfrage?
Was ist die Flagge nach Abschluss von Level 1?
Was ist die Flagge nach Abschluss von Level 2? (und Übergang zu Level 3)
Was ist die Flagge nach Abschluss von Level drei?
Was ist die letzte Flagge nach Abschluss von Level vier?
Nennen Sie ein Protokoll, das mit D beginnt und zum Exfiltrieren von Daten aus einer Datenbank verwendet werden kann.

Video-Anleitung

 

, ,
Anmerkungen anzeigen

Motasem

Über den Autor

Ich erstelle Notizen zur Cybersicherheit, Notizen zum digitalen Marketing und Online-Kurse. Ich biete auch Beratung zum digitalen Marketing an, einschließlich, aber nicht beschränkt auf SEO, Google- und Meta-Anzeigen und CRM-Verwaltung.

Artikel anzeigen