SQL Injection
SQL Injection
Alexander Antipov
SQL Injection — техника взлома, при которой злоумышленник вводит злонамеренный код SQL в пользовательский ввод, чтобы манипулировать базой данных. SQL — это язык для управления данными.
Представим, что на веб-сайте есть форма для входа, где требуется ввести имя пользователя и пароль. Обычно веб-сайт использует введенные данные для создания SQL-запроса, который ищет соответствующего пользователя в базе данных. Если пользователь найден и пароль совпадает, веб-сайт позволит войти в аккаунт.
Вместо того чтобы вводить обычное имя пользователя или пароль, злоумышленник пытается ввести часть кода SQL. Если веб-сайт неправильно обработает ввод, он может исполнить этот SQL-код, что приведет к нежелательным последствиям. Например, злоумышленник сможет просмотреть все имена пользователей и пароли, удалить данные или даже взять контроль над всей базой данных.
Представим, что на веб-сайте есть форма для входа, где требуется ввести имя пользователя и пароль. Обычно веб-сайт использует введенные данные для создания SQL-запроса, который ищет соответствующего пользователя в базе данных. Если пользователь найден и пароль совпадает, веб-сайт позволит войти в аккаунт.
Вместо того чтобы вводить обычное имя пользователя или пароль, злоумышленник пытается ввести часть кода SQL. Если веб-сайт неправильно обработает ввод, он может исполнить этот SQL-код, что приведет к нежелательным последствиям. Например, злоумышленник сможет просмотреть все имена пользователей и пароли, удалить данные или даже взять контроль над всей базой данных.
Добро пожаловать в админку. Две SQL-инъекции в Chamilo: как неавторизованный пользователь мог взломать 40 миллионов аккаунтов
PT SWARM обнаружила 13 уязвимостей в Chamilo LMS.