Introduction

Nous avons couvert les types de Vulnérabilité d'injection SQL à savoir l'injection SQL basée sur les erreurs, basée sur le temps, aveugle et booléenne. Nous avons utilisé la voie TryHackMe Junior Penetration Tester.

L'injection SQL (Structured Query Language), principalement appelée SQLi, est une attaque contre un serveur de base de données d'application Web qui provoque l'exécution de requêtes malveillantes. Lorsqu'une application Web communique avec une base de données à l'aide d'une entrée d'un utilisateur qui n'a pas été correctement validée, il est possible qu'un attaquant puisse voler, supprimer ou modifier des données privées et client et également attaquer les méthodes d'authentification des applications Web pour les rendre privées. ou des espaces clients. C’est pourquoi SQLi est non seulement l’une des vulnérabilités des applications Web les plus anciennes, mais elle peut également être la plus dommageable.

Obtenir les notes du certificat OSCP

Qu'est-ce qu'une base de données ?

Une base de données est un moyen de stocker électroniquement des collections de données de manière organisée. Une base de données est contrôlée par un SGBD qui est un acronyme pour Database Management System, les SGBD se divisent en deux camps Relationnel ou Non relationnel, cette salle se concentrera sur les bases de données relationnelles. Les bases de données les plus courantes que vous rencontrerez sont MySQL, Microsoft SQL Server, Access, PostgreSQL et SQLite. Nous expliquerons la différence entre les bases de données relationnelles et non relationnelles à la fin de cette tâche, mais il est d'abord important d'apprendre quelques termes.

 

Dans un SGBD, vous pouvez avoir plusieurs bases de données, chacune contenant son propre ensemble de données associées. Par exemple, vous pouvez avoir une base de données appelée «boutique« . Dans cette base de données, vous souhaitez stocker des informations sur les produits disponibles pour achatutilisateurs qui se sont inscrits à votre boutique en ligne et des informations sur les ordres vous avez reçu. Vous stockeriez ces informations séparément dans la base de données en utilisant quelque chose appelé tables, les tables sont identifiées par un nom unique pour chacune. Vous pouvez voir cette structure dans le diagramme ci-dessous, mais vous pouvez également voir comment une entreprise peut disposer d'autres bases de données distinctes pour stocker les informations sur le personnel ou l'équipe comptable.

Questions et réponses du défi

Quel est l'acronyme du logiciel qui contrôle une base de données ?

Quel est le nom de la structure en forme de grille qui contient les données ?

Quelle instruction SQL est utilisée pour récupérer les données ?

Quelle clause SQL peut être utilisée pour récupérer des données de plusieurs tables ?

Quelle instruction SQL est utilisée pour ajouter des données ?

Quel caractère signifie la fin d’une requête SQL ?
Quel est le drapeau après avoir terminé le niveau 1 ?
Quel est le drapeau après avoir terminé le niveau deux ? (et passer au niveau 3)
Quel est le drapeau après avoir terminé le niveau trois ?
Quel est le drapeau final après avoir terminé le niveau quatre ?
Nommez un protocole commençant par D qui peut être utilisé pour exfiltrer des données d'une base de données.

Vidéo pas à pas

 

, ,
Montrer les Commentaires

Motasem

A propos de l'Auteur

Je crée des notes de cybersécurité, des notes de marketing numérique et des cours en ligne. Je fournis également des conseils en marketing numérique, y compris, mais sans s'y limiter, le référencement, les publicités Google et Meta et l'administration CRM.

Voir les Articles