Всем, наверняка, знакомо сочетание «sql-injection». Не раз и не два мы вытягивали нужные сведения из таблиц баз данных. В то же время далеко не всегда удается провести успешную инъекцию из-за незнания особенностей той или иной базы данных. В общих чертах синтаксис ANSI SQL везде одинаков, но существуют подводные камни.

    Не секрет, что можно взломать абсолютно любой сайт, идеальной защиты не бывает. Взломать интернет сайт намного легче, чем взломать прикладную программу, да и делать это гораздо интереснее, ведь твои труды увидят тысячи пользователей (разумеется, если взломанный сайт достаточно популярен). На сегодняшний день известно множество методик взломов интернет-сайтов, одним из самых опасных является, так называемая, инъекция (Injection - введение).

    Желание поделиться навыками, с другими начинающими хакерами, а также предосторечь от возможных ошибок в защите тех кого я затрагиваю в этой статье.
    Статья эта написана только в целях повышения уровня знаний и за любое другое применение автор не несёт ответственности!!!
Все примеры описаны для Mysql.

    Здравствуйте, уважаемые читатели. Перед вами пошаговае руководство по SQL Injection для новичков. Здесь я попытаюсь очень просто объяснить как украсть нужную нам информацию.
    Эта статья является как бы итогом множества других статей, вопросов, ответов, практики итд итп. Написал я эту статью чтобы хоть как то облегчить труды новичков в нашем нелегком деле.

    Перейду сразу к делу. Данная статья описыват как можно DoS-ить если на сайте возможна SQL Injection.

    В данной статье я хотел бы рассказать об одной интересной (по крайней мере для меня) уязвимости. Описания подобной уязвимости я еще не встречал в сети, поэтому думаю для вас это будет новой информацией, а уж если не новой то хотя бы интересной =) Наиболее характерна бага для всевозможных движков сайтов, форумов и прочего, поддерживающих вход с использованием cookies. В сети я встречал статьи посвященные методам атаки через cookies, но в них рассматривалась атака на пользователя со стороны сервера, а вот описания метода атаки на сервер со стороны клиента я не встречал. Чтож наверно пора это исправить =)

    В  данной статье будут обсуждены методы обнаружения SQL инъекций и атак межсайтового скриптинга (CSS атак), при нападении на вашу сеть. Ранее были достачно хорошо осуждены методы предотвращения этих видов атак, однако плохо описывались методы обнаружения нападений. В наших примерах мы будем использовать программу IDS Snort  [3] и составим регулярные выражения, основанные на правилах для обнаружения таких видов атак.

    Я уверен, что тебе не раз приходилось тратить довольно много времени на такое нудное и малоинтересное занятие, как определение количества столбцов между SELECT и WHERE, перебор названий таблиц, посимвольный брутфорс при атаках вида SQL Injection. Не удивлюсь, если ты скажешь, что тебе уже порядком надоело делать это вручную, каждый раз встречая эту уязвимость. Данная статья рассчитана на человека, знакомого со SQL инъекциями - в ней мы рассмотрим методы их автоматизированной эксплуатации на примере использования PHP скрипта SQLBruter 0.2

    Не секрет, что баги в скриптах всегда были ахиллесовой пятой многих веб-ресурсов. Просканишь хост, посмотришь, какие сервисы и каких версий там крутятся, и опускаешь руки - просто неоткуда подступиться. Все лишнее закрыто фаерволом, а то, что открыто - пропатчено до последних версий. Засекурено по максимуму. И тут исход взлома решает какая-то байда в скрипте, заставляющая прыгать от радости.