Ми написали цю статтю, щоб Ви краще зрозуміли MySQL. А також ми розкажемо, як встановити та налаштувати phpMyAdmin.
624 
SQL-ін’єкція – це тип атаки шляхом впровадження, який дозволяє виконувати шкідливі оператори SQL. Ці оператори керують сервером бази даних за веб-програмою. Зловмисники можуть використовувати вразливості SQL Injection для обходу заходів безпеки додатків. Вони можуть обійти автентифікацію та авторизацію веб-сторінки або веб-програми та отримати вміст усієї бази даних SQL. Вони також можуть використовувати SQL Injection для додавання, зміни та видалення записів у базі даних. Отже, SQL є формальною мовою програмування, що застосовується для управління даними у базі даних, найчастіше використовується для формування запитів до бази даних веб-сайту про облікові дані (ім’я користувача-пароль). Більшість сайтів відслідковують запити типу ім’я користувача-пароль, і хакер може скористатися цим, щоб надіслати серверу свій запит – це і називається впровадженням SQL-коду в базу даних. Даним шляхом хакери можуть створювати, прочитувати, оновлювати, змінювати або навіть видаляти дані, що зберігаються в серверній частині СУБД, як правило, з метою отримання доступу до таких конфіденційних даних, як номери соціального страхування, дані банківських карток та інших фінансових даних.
Оскільки впровадження SQL-коду потенційно загрожує всім сайтам, що використовують бази даних на базі коду SQL, даний тип кібератаки є одним із найстаріших, поширених і найнебезпечніших з усіх існуючих на сьогоднішній день. Більше того, завдяки поширенню програм, що автоматизують використання SQL-коду, кількість подібного типу атак швидко зростає, і хакери нападають ще на більшу кількість веб-сайтів, збільшуючи завдяки цьому свою виручку.На додаток до несанкціонованої інформації, атаки SQL можуть бути написані для видалення всієї бази даних, обходу необхідності в облікових даних, видалення записів або додавання небажаних даних.
Це інструмент тестування на проникнення з відкритим вихідним кодом, sqlmap автоматизує процес виявлення та використання вразливостей SQL-ін’єкцій та захоплення серверів баз даних. Він постачається з потужним механізмом виявлення, безліччю нішевих функцій для просунутих тестерів на проникнення та широким набором перемикачів для зняття відбитків пальців бази даних, вилучення існуючих даних з бази даних, доступу до базової файлової системи та виконання команд ОС через позасмуговий доступ зв’язку. Зловмисники можуть використовувати sqlmap для виконання SQL-ін’єкцій на цільовому веб-сайті за допомогою різних методів, ябі побудовані на основі логічних значень або на основі часу, на основі помилок, на основі запитів UNION, стековані запити та позасмугове впровадження.
Інструмент для автоматичної експлуатації SQL-ін’єкцій. Тільки надавши вразливу URL-адресу та дійсний рядок на сайті, можна виявити проникнення та використовувати інструмент за допомогою методу об’єднання або методу на основі логічних запитів. Mole використовує командний інтерфейс, що дозволяє користувачеві легко вказати дію, яку він хоче виконати. Інтерфейс командного рядка також забезпечує автодоповнення як для команд, так і для аргументів команд, зводячи до мінімуму потребу користувача вводити текст.
Використовує сліпу ін’єкцію SQL на основі часу в заголовках HTTP (MySQL/MariaDB). Цей інструмент допомагає дослідникам веб-безпеки знаходити засновані на часі сліпі SQL-ін’єкції в заголовках HTTP, а також використовувати ту ж саму вразливість. Він також підтримує фазинг для сліпих SQL-ін’єкцій на основі часу в заголовках HTTP. Зловмисники використовують Blisqy для пошуку потенційних сліпих SQL-ін’єкцій, що базуються на часі, а потім готують сценарій для експлуатації вразливої веб-програми.
Це кросплатформенний графічний інтерфейс користувача sqlmap для інструменту sqlmap. Він насамперед призначений для використання на мобільних пристроях.
SQLi використовується для створення шкідливих запитів з ненадійними вхідними даними та виконання атак шляхом впровадження SQL-коду в Android.
Механізм сканування SQL, який можна використовувати для пошуку та використання різних вразливостей, таких як проста ін’єкція SQL, сліпа ін’єкція SQL, міжсайтовий скриптинг (XSS), ненавмисне розкриття конфіденційної інформації, відображений міжсайтовий скриптинг, збережені міжсайтові скрипти, сценарії сайту, включення віддалених файлів, використання оболонки тощо.
624 
394 
266