Главной темой отчета группы Hacker Intelligence Initiative (HII) компании Imperva за текущий месяц является рост атак на web-приложения с помощью SQL инъекции (SQLi). Динамика прошедшего года подтвердилась, SQL-инъекция стала широко применяться на практике даже людьми, не имеющими обширных знаний в области информационной безопасности, и на это есть свои причины. Наиболее существенной причиной можно назвать нацеленность [...]

Не прошло и трех дней после сдачи моей прошлой статьи, как в голове родилась совершенно новая и куда более эффективная методика работы с Blind SQL Injection. Если ты помнишь, я рассказывал о том, как существенно уменьшить количество запросов к серверу при работе с уязвимостями такого рода. Сегодня я покажу поистине революционные приемы инъектирования. А ты [...]

В предыдущей статье было продемонстрировано, как тривиальная инъекция может привести к гибели сервера, а точнее, к получению контроля над ним злоумышленником. Тогда мне в значительной степени повезло, так как доступ к БД через скуль открывал завесу к паролям от FTP. Классика создания сиквела требует сохранить атмосферу и развить сюжет. Поэтому теперь мы научимся работать с [...]

Каждый раз, натыкаясь на слепую SQL-инъекцию, ты представляешь себе долгие минуты ожидания получения результатов из базы. Все знают, что процесс работы ускорить невозможно. Да неужели? Прочитав эту статью, ты заставишь свои инъекции отрабатывать по максимуму и станешь реальным SQL-гуру. Основной проблемой при работе с Blind SQL Injection является огромное количество запросов, которое необходимо послать на [...]

Видео урок по проведению sql-инъекции. (2,6Mb) Видео урок по проведению php-инъекции. (7,2 Mb)

Защищена ли ваша база данных от атаки sql-инъекцией? В данной статье Митчел расскажет нам что же это такое и как предотвратить их возникновение. База данных это сердце большинства web-приложений: она хранит информацию необходимую для «выживания» сайтов и приложений. Это хранилище личных данных пользователей и финансовой информации, требующей особенно бережного хранения. База данных запоминает настройки, выписанные [...]

Любой взлом преследует цель, которая определяет его ценность. Задефейсить сайт для латентных любителей клубнички или поиметь очередной рутовый шелл – решать тебе. Реалии таковы, что любая уязвимость в web-приложении таит угрозу для сервера. И если ты не ограничиваешься банальными и уже слегка поднадоевшими SQL-инъекциями – статья для тебя. На входе адрес жертвы, на выходе админский [...]

Видео взлома сайта Департамента Образования штата Айова (IOWA) и получение доступа к личным данным учащихся. Так небольшая невнимательность программиста приводит к большой уязвимости пользователей. Вольных или невольных пользователей.

Многие сайты, расположенные в интернете, базируются на CMS. Часто это вполне оправдано. Не стал исключением и официальный сайт одной конторы, обратившейся ко мне по поводу тестирования на проникновение методом «черного ящика». Перейдем сразу к делу, мой друг, – сейчас я расскажу тебе про все тонкости проведенного аудита.