introduzione
Abbiamo coperto i tipi di Vulnerabilità dell'iniezione SQL vale a dire SQL injection basata su errori, basata sul tempo, bled e booleana. Abbiamo utilizzato il percorso TryHackMe Junior Penetration Tester.
SQL (Structured Query Language) Injection, noto principalmente come SQLi, è un attacco al server di un database di applicazioni Web che provoca l'esecuzione di query dannose. Quando un'applicazione Web comunica con un database utilizzando l'input di un utente che non è stato adeguatamente convalidato, esiste la possibilità che un utente malintenzionato sia in grado di rubare, eliminare o alterare i dati privati e dei clienti e anche attaccare i metodi di autenticazione delle applicazioni Web ai dati privati. o aree clienti. Questo è il motivo per cui, oltre ad essere una delle vulnerabilità delle applicazioni web più antiche, SQLi può anche essere la più dannosa.
Ottieni le note sul certificato OSCP
Cos'è una banca dati?
Un database è un modo per archiviare elettronicamente raccolte di dati in modo organizzato. Un database è controllato da un DBMS che è l'acronimo di Database Management System, i DBMS si dividono in due campi Relazionale O Non relazionale, il focus di questa stanza sarà sui database relazionali, alcuni dei più comuni che incontrerai sono MySQL, Microsoft SQL Server, Access, PostgreSQL e SQLite. Spiegheremo la differenza tra database relazionali e non relazionali alla fine di questa attività, ma prima è importante imparare alcuni termini.
All'interno di un DBMS è possibile avere più database, ciascuno contenente il proprio set di dati correlati. Ad esempio, potresti avere un database chiamato "negozio“. All'interno di questo database si desidera archiviare le informazioni sui prodotti disponibili acquistare, utenti che si sono iscritti al tuo negozio online e informazioni su ordini hai ricevuto. Memorizzeresti queste informazioni separatamente nel database utilizzando qualcosa chiamato tabelle, le tabelle sono identificate con un nome univoco per ciascuna. Puoi vedere questa struttura nel diagramma seguente, ma puoi anche vedere come un'azienda potrebbe avere altri database separati per archiviare le informazioni sul personale o sul team contabile.
Domande e risposte della sfida
Qual è il nome della struttura a griglia che contiene i dati?
Quale clausola SQL può essere utilizzata per recuperare dati da più tabelle?
Quale istruzione SQL viene utilizzata per aggiungere dati?
Videoguida