alfares
10-01-2010, 05:58 PM
إستغلال ثغرات SQL Injection بطرق غير إعتيادية عن طريق حقن الإستعلام في الشرط order by , group by أو limit. سوف نتناول في هذا المقال ظهور نوع جديد من ثغرات الحقن تختلف عن الانواع الي نعرفها دائماُ وسوف نتكلم عن ثلاثة محاور اساسية وهي التعرف على هذا النوع من الثغرات, إستغلالها وكيف تحمي نفسك منها.
مع التقدم الحماية صار لابد للهكر اللجوء الى اساليب جديدة في الاختراق وايجاد نقاط الضعف لكي يتم استغلالها وفي الايام الحالية ظهر نوع جديد من ثغرات الحقن (SQL Injection) والتي يستغلها المخترق في تنفيذ مايريد وهناء يقوم المخترق بالتحكم في الشروط (ORDER BY, LIMIT or GROUP BY) في امر الاستعلام.
وفي هذا المقال سوف نقوم بالتطبيق على قواعد بيانات mysql server و مع العلم أن هذه التقنية بالامكان تطبيقها على كافة قواعد البيانات.
في معظم ثغرات SQL Injection يتم التركيز على مابعد الشرط where والتي يكون المستخدم هو المتحكم بها
للمزيد هنا (http://www.isecur1ty.org/articles/web-security/516-unusual-sql-injection.html)
مع التقدم الحماية صار لابد للهكر اللجوء الى اساليب جديدة في الاختراق وايجاد نقاط الضعف لكي يتم استغلالها وفي الايام الحالية ظهر نوع جديد من ثغرات الحقن (SQL Injection) والتي يستغلها المخترق في تنفيذ مايريد وهناء يقوم المخترق بالتحكم في الشروط (ORDER BY, LIMIT or GROUP BY) في امر الاستعلام.
وفي هذا المقال سوف نقوم بالتطبيق على قواعد بيانات mysql server و مع العلم أن هذه التقنية بالامكان تطبيقها على كافة قواعد البيانات.
في معظم ثغرات SQL Injection يتم التركيز على مابعد الشرط where والتي يكون المستخدم هو المتحكم بها
للمزيد هنا (http://www.isecur1ty.org/articles/web-security/516-unusual-sql-injection.html)