Bejárat > IT biztonság > SQL injekció 3. rész: A Havij program használata

SQL injekció 3. rész: A Havij program használata

január 1st, 2011 Szólj hozzá! Tovább a hozzászólásokhoz

A Havij egy automata SQL injekciós eszköz, ami a weblap tulajdonosoknak segítséget nyújthat felmérni a honlap sérülékenységét. A program honlapja ITT érhető el, ahonnan egy ingyenes próba változat letölthető. Nézzük meg, hogyan is kell használni. Első lépésben szükségünk van egy URL-re a honlapon, amit tesztelni szeretnénk biztonsági szempontból. Legyen pl a következő:

http://azenhonlapom.tld/picture.php?picture_id=1128

Ezt adjuk meg a target részben, majd a beállításokat nem módosítva nyomjuk meg az Analyze gombot. Amennyiben POST típusú (pl. űrlapok) paraméterátadást szeretnénk tesztelni, akkor a Method részben a GET-et állítsuk POST-ra.

Ha a program bejutott a honlapra, akkor a példában is látható módon megtalálja az adatbázist. Amennyiben itt hibaüzenetet ad, érdemes egy másik belépési pontot keresni, hátha. Miután megvan aza adatbázis, már átválthatunk a TABLES fülre:

Itt a GetDBs, Get Tables, Get Columns és a Get Data gombokkal bármely adatbázis, bármely táblájának a tartalmát lekérdezhetjük. A példában az users tábla usernév és jelszó mezőit kérdezzük le. A program jobbgombos menüben lehetőséget biztosít DML utasítások (UPDATE, DELETE) végrehajtására is. Amit csak saját felelősségre és csak saját honlapon használjunk!

A program MD5 cracker (fenti kép) résszel is rendelkezik, tehát ha megtalálja a támadó a jelszót, de az MD5-el van védve, abban az esetben pár távoli szerver segítségével villámgyorsan visszafejti. Különös tekintettel, ha nem biztonságos jelszót használunk. A biztonságos jelszó fogalmáról itt olvashatsz bővebben: Hogyan válassz magadnak jelszót

Az utolsó és egyben befejező részben a védekezési lehetőségekről fogok írni pár mondatot.

Kapcsolódó bejegyzések

  1. SQL injekció 2. rész: Mi a célja a behatolónak? SQL injekciós támadás esetén három különböző csoportba lehet a sorolni...
  2. Youtube konvertáló program A Youtube forgalma napról napra nő, rengetegen néznek és töltenek...
  3. SQL injekció 1. rész: Mit is jelent a fogalom? Első lépésként ismerkedjünk meg az SQL injekció fogalmával. Az injekció...
  4. Hogyan válassz magadnak jelszót Rengeteg cikket lehet olvasni a neten, hogy az emberek mennyire...
Categories: IT biztonság Tags:
  1. Még nincs hozzászólás
  1. Még nincsenek visszakövetések
-ként kell bejelentkezned, hogy hozzászólhass