Sql Statements ودورها في إختبار إختراق قواعد بيانات المواقع

تعتبر ثغرات Sql injection من أخطر الثغرات التي تصيب قواعد البيانات التابعة للمواقع ، بحيث تمكن المهاجم من أخد الصلاحيات التامة للموقع وبالتالي إختراقه وذلك عن طريق إستخراج معلومات خاصة بمستخدمي تلك القواعد . في الواقع هذا النوع من الإختراق يتم عن طريق عمليتين إثنتين : يدويا وأوتوماتيكيا عن طريق بعض الأدوات المخصصة مثل و Sqlmap و Darkymysqli يمكنكم مشاهدة شرح خاص حول أداة وعن كيفية إستخدامها من هنا "كيفية إستغلال ثغرات Sql injection عن طريق أداة Darkmysqli" .

لذا إرتأينا في هذا الشرح التطرق لبعض الأوامر التي تطبق يدويا في استخراج معلومات قاعدة البيانات وإسم المستحدمين ، بطبيعة الحال سوف نقوم فقط بشرحها ليس بتطبيقها ، فهذا لمساعدتك على تجاربك الخاصة ، هاته الأوامر تسمى ب Sql statments وهي كالتالي :
  1. Insert :  تستخدم لإضافة معلومات إلى قواعد البيانات بهدف التعرف على نسختها .
  2. Delete : تستخدم لحذف معلومات من قواعد البيانات وذلك يدويا بطبيعة الحال
  3. Update : تستخدم لتحديث البيانات في قاعدة البيانات 
  4. Select : تستخدم للحصول على معلومات من داخل قاعدة البيانات مثل إسم الاعمدة والجداول
  5. Union select : تستخدم للحصول على معلومات من عدة أعمدة من داخل الجداول في قاعدة البيانات مثل كلمات المرور وأسماء المستخدمين .
تمام ، إذن هاته الأوامر تتم عمليتها في سطر المتصفح وكل مختبر إختراق تطبيقات الويب يعلم يقينا كيفية عمل ذلك :) هذا كل ما في هاته المقالة ، إلى اللقاء 

بقلم

محمد لحلو

المدير التقني لمدونة مجتمع الأمن المعلوماتي مدون ومغرد حول مجال الأمن المعلوماتي والحماية الإلكترونية ! مهتم بكل جديد حول المجال الأمني بصفة خاصة والتقني بصفة عامة من مواليد مدينة فاس المغرب .

2016 © جميع الحقوق محفوظة
تطوير : عدنان المجدوبي