بسم الله وكفى والصلاة على النبي المصطفى نبينا محمد - صلى الله عليه وسلم -
كيف أحوالكم أحبتي زوار مدونتي
اليوم وبعد بحث طويل عن قواعد البينات My SQL
اليوم سوف نبحر في هذا العالم
نبدأ بسم الله
اولآ قبل البدء يجب أن اعرفكم عن :
- ماهو الخطأ البرمجي في قواعد البيانات -
هو عبارة عن خطأ يقع فيه المبرمج بأتاحته الفرصه للمخترق بالأتصال بقواعد بيانات الأسكربت عن طريق أوامر الأتصال
كمثال أصدار أمر للقاعدة بجلب جدول الذي يحتوي فيه بيانات المدير من اليوز و الباسوورد أو أصدار القاعدة و غيرها
من الأمور التي تخص بالموقع.
عرفت أن سبب إنتشار هذه الثغره هي أنها مفتوحة المصدر وغير مكلفة بالمقارنه بالأوركال كما أنها لا تحتاج مساحة كبيره
لاكن المصالح البنكيه و غيرها أبداً لا تستعين بهذه القاعده في الأتصال
***
- أين يوجد الخطأ الفعلي فيها ..؟ -
يوجد في جمل الخبريه في رابط الأتصال بالقاعده لتوضيح الفكره اكثر لتجد الخطأ لابد ان تحصل على علامة
=
بمعنى لابد من وجود متغير على طرفي =
كمثال :
id=1
معناها الدالة id تساوي 1
ولا تقتصر على هذه الداله فقط , لأن غيرها الكثير
***
- كيف نستطيع أختبار المتغير لأيجاد الخطأ فعلياً ..؟ -
بمجرد إدخال قيمه غير مدرجه في قواعد البيانات SQL
فأن قاعدة البيانات تقوم بإضهار استيعاء ورفض لهذه القيمه غير المعروفه ويظهر الخطأ
و يكون الأستعلام عن الخطأ بإضافة علامة ' بعد المتغير
كمثال:
index.php?id=1'
سوف يضهر الخطأ و يضهر الأستعلام على الموقع
مثال :
زي ما تشوفون طلع لنا نص الخطأ
ثغرات SQL كبيره جداً جداً
الأغلب منكم يعرف قناة " الكوثر الشيعيه " ولها موقع على الإنترنت
قد وجدت انا ثغرة في قواعد البيانات وتوصلت لأسم المدير و كلمة المرور
ولاكن للأسف طلعت كلها وهميه وفي اليوم الثاني قام مدير الموقع بوضع " رقعه على الخطأ "
والله انها لفرصه لا ترجع , واني ندمت أشد الندم لعدم توصلي للوحة التحكم.
الى هنا أحب ان اترككم
فقط أعطيتكم بعض المصطلحات و بعض المعلومات من يحب أن يكمل المشوار فعليه بـ " العم قوقل ^_^ "
فمان الله
تعليقان على | نضره على ثغرات SQL و أخطارها على الموقع |
23 سبتمبر 2011 في 11:18 ص [حذف]
مشششششكور
vvxb@Hotmail.com
24 سبتمبر 2011 في 1:38 ص [حذف]
العفو يالغالي ~
بس سادح إيميلك هنا على أساس أيش ..؟
على العموم منور المدونه ,’
اترك تعليقك على الموضوع