Wir haben ein Szenario mit einem Anmeldeformular behandelt, das anfällig für SQL-Injection-Schwachstellen ist. Mithilfe des Quellcodes konnten wir eine Möglichkeit finden, die nach dem Absenden des Formulars an die Datenbank gesendete SQL-Abfrage anzuzeigen. Wir haben festgestellt, dass die Anwendung die SQL-Abfrage in Anführungszeichen einschließt. Mit diesen Informationen in der Hand haben wir versucht, das Formular mit manuellen SQL-Injection-Nutzdaten zu injizieren und sie in Anführungszeichen einzuschließen, was zu einer erfolgreichen Anmeldung führte. Dies war Teil von OverTheWire Kriegsspiele Natas Level 14

Holen Sie sich Hinweise zum OSCP-Zertifikat

Natas Level 15 Level-Passwort:

TTkaI7AWG4iDERzBcEyKV7kRXH1EZRB

Video-Komplettlösung

CTF-Beschreibungen, OverTheWire CTF, OverTheWire Natas Stufe 14, OWASP, SQL-Inektion

Anmerkungen anzeigen

Motasem

Über den Autor

Ich erstelle Notizen zur Cybersicherheit, Notizen zum digitalen Marketing und Online-Kurse. Ich biete auch Beratung zum digitalen Marketing an, einschließlich, aber nicht beschränkt auf SEO, Google- und Meta-Anzeigen und CRM-Verwaltung.

Artikel anzeigen

SQL-Injection | Umgehen von doppelten Anführungszeichen | OverTheWire Natas Level 14

Schreiben Sie einen Kommentar Antworten abbrechen

Motasem

Über den Autor

Andere Geschichten

Microsoft DREAD Framework erklärt | Bedrohungsmodellierung | TryHackMe

Das MITRE ATT&CK Framework erklärt | Bedrohungsinformationen und Modellierung | Teil 1

Drücken Sie ESC zum Schließen

SQL-Injection | Umgehen von doppelten Anführungszeichen | OverTheWire Natas Level 14

Schreiben Sie einen Kommentar Antworten abbrechen

Motasem

Über den Autor

Artikel teilen:

Andere Geschichten

Microsoft DREAD Framework erklärt | Bedrohungsmodellierung | TryHackMe

Das MITRE ATT&CK Framework erklärt | Bedrohungsinformationen und Modellierung | Teil 1