تعرفنا و بشكل جيد جدا عن ثغرات حقن قواعد البيانات،و لكن كان ذلك بشكل نظري،فقد عرفنا كيف يتم اكتشاف هذا النوع من الثغرات،و كيف يتم تحليل الثغرة من أجل استغلالها و ترقيعها فيما بعد،و لكن الكثير لم يعرف ﻻ كيف يجدها و ﻻ مكانها.
من الخطأ ان نعتقد أن ثغرات حقن قواعد البيانات يتم إيجادها فقط عن طريق إضافة بعض الرموز إلى الرابط،فهذا مثال فقط،و لكن في الحقيقة،من الممكن إيجاد ثغرات حقن قواعد البيانات في أي مكان ما دام هنالك تعامل مع قاعدة البيانات،و بالتالي من الممكن جدا أن نجد ثغرة حقن في محرك بحث موقع مثلا ما دام هذا الموقع يستند في عمله لقاعدة بيانات.
فأمر البحث ما هو إﻻ أمر SQL يقضي بالبحث في قاعدة البيانات،سواء في قاعدة البيانات ككل أو في جدول محدد منها،و بالتالي إن لم تكن هنالك حماية للامر،فمن الممكن جدا أن تكون هنالك ثغرة حقن في الموقع و بالتحديد في محرك البحث الخاص به.

في هذا الدرس قدمت مثاﻻ بسيطا عن ثغرات الحقن الموجودة في محركات البحث،و كيف يتم التأكد من وجودها عن طريق إضافة بعض الرموز التي تعرفنا عليها سابقا.
هنالك أحد المواقع التابعة لمشروع OWASP الشهير و المهتم بتعليم أمن المعلومات فيما يتعلق بجانب تطبيقات الويب يسمى Vicnum.هذا الدرس تم تطبيقه على هذا الموقع.
أتمنى أن تكون الفكرة قد وصلت،ﻻ تنسوا مشاركة الدرس مع الأصدقاء،دمتم بود،سلام

4 تعليقات. Leave new

  • السلام عليكم أخي عبد المجيد أتمنى أن تكون بخير أخي العزيز؟
    شكرا على الدرس القيم و على المعلومات القيمة .
    يمكن اضافة أيضا 1+or+1=1 و أي أمر من الاوامر للاتصال باقاعدة.
    تحياتي أخي

    رد
  • شكرا اخي على الدرس
    هل ستتطرق الى امثله ل mysql injection و mssql injection و oracle injection
    خصوصا ان قواعد اوراكل ومايكروسوفت هي الرائجه ومرغوبة عند اغلب الشركات بحكم انها تجارية وعليها دعم فني

    اتمنى لك التوفيق

    رد
    • العفو اخي الكريم
      أنا اعطيت فكرة عامة حول ثغرات الحقن و كيف يتم استغلالها.التركيز سيكون منصبا على قواعد بيانات MySQL بسبب توفرها للجميع.
      شكرا

      رد

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *

Fill out this field
Fill out this field
الرجاء إدخال عنوان بريد إلكتروني صالح.
You need to agree with the terms to proceed

هذا الموقع يستخدم Akismet للحدّ من التعليقات المزعجة والغير مرغوبة. تعرّف على كيفية معالجة بيانات تعليقك.

القائمة