دانش اولیه هک و امنیت, مقالات آموزشی

آموزش باگ SQLI برای نفوذ به وبسایت ها + ویدیو آموزشی

حمله sql injection (SQLI) چیست؟ آموزش اتومیشن کردن حملات sql injection با ابزار برپ سوییت. سلام به بهترین ها امیدوارم حالتون عالی باشه 🙂در این مقاله آموزشی قصد داریم تا در رابطه با مباحث وب هکینگ صحبت کنیم و ببینیم که چطور میتونیم حملات معروف sql injection رو با ابزار قدرتمند برپ سوییت (Burp Suite) خودکار سازی کنیم.این روش در تست آسیب پذیری های مختلف روی وبسایت ها خیلی بکارتون میاد و میتونید برای پیاده سازی حملات SQLI ازش استفاده کنید. اما قبل از هر چیزی بزارید یک توضیح کوتاه در را بطه باحملات SQL INJECTION بهتون بدم تا با نحوه کاربرد اون بیشتر آشنا بشید 🙂

منظور از حمله SQL INJECTION چیست ؟

Sql injection یکی از معروف‌ترین حملات برای هک و نفوذ به دیتابیس بوده که اغلب خرابکاران از آن برای نفوذ به منابع اطلاعاتی استفاده می‌کنند. از این نوع تکنیک برای ازکارانداختن و ازبین‌بردن پایگاه‌داده استفاده می‌شود و در هک‌ وب کاربرد دارد. تزریق کدهای SQL به معنای قراردادن کد‌های مخرب در SQL به‌وسیله صفحات وب است.

SQL injection یکی از رایج‌ترین تکنیک برای هک وب بوده که هکر از طریق یک درگاه ورودی درون سایت، اقدام به تزریق کد‌های مخرب به درون دیتابیس متصل به آن می‌کند. این درگاه می‌تواند صفحه ثبت‌نام و فیلد‌هایی که از کاربر اطلاعات درخواست می‌کند باشد.

یعنی هکر مانند یک کاربر معمولی وارد سایت شما شده و با ورود به بخش مثلا ثبت‌نام به‌جای نام، نام کاربری، رمز عبور و… کد‌های مخربی را وارد می‌کند. بر اساس برنامه‌ریزی و کد‌نویسی سایت، تمامی این ورودی‌های با فرض بر این که مقادیر صحیحی هستند در درون data base شما قرار گرفته و درنهایت باعث ایجاد اختلال در عملکرد و وقوع فاجعه می‌شود.

برای درک بهتر این موضوع فرض کنید که مرکز داده یا سایت شما بانکی است که روزانه هزاران نفر به آن مراجعه می‌کنند. حال یک خرابکار با پوشیدن لباس‌های معمولی مانند یک فرد عادی وارد بانک شما شده و با آوردن یک دستگاه باعث ازکارافتادن سیستم‌های امنیتی و دوربین‌ها می‌شود. درب ورودی بانک مانند همان درگاه‌های ثبت‌نام سایت بوده و دستگاهی که باعث اختلال در سیستم‌های امنیتی می‌شود همان کد‌های مخرب است.

حملات SQL injection چطور اجرا می‌شوند؟

قبل از آنکه به چگونگی حملات تزریق SQL بپردازیم، باید بدانیم کوئری (QUERY) چیست و چه مفهومی دارد. کوئری SQL درخواست انجام عملی در پایگاه داده برنامه است. مدیر دیتابیس برای اجرای دستورات سیستم‌عامل از کوئری‌ ها استفاده می‌کند. پارامترهای هر کوئری رکوردهای موردنظر کاربر را برمی‌گردانند. اما در حملات تزریق SQL، مهاجم با تزریق کد مخرب به فرم ورودی کوئری، از این دستورات به نفع خود سوء استفاده می‌کند.

امیدوارم از این آموزش لذت برده باشید 🙂

کانال تلگرام هکفا

آیا این مطلب برای شما مفید بود؟

میانگین امتیاز 5 / 5. 2

Avatar photo
مهران کیاء

مهران کیاء , هکر کلاه خاکستری , فعال در حوزه تست نفوذ و امنیت , علاقه مند به مباحث شبکه و برنامه نویسی عاشق یادگیری و آموزش دادن. دوستان عزیز جهت مطرح کردن سوالات و مشکلات خودشون در دوره های آموزشی بنده میتونن از طریق کانال تلگرام هکفا اقدام کنند.

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

3 × 3 =