منتديات الجنرال صدام الشرعبي لي الهكرز والاختراقات
عزيزي الزائر عزيزتي الزائرة يرجي التكرم بتسجبل الدخول
لي اجل تستطيع اطهار جميع المواضيع والاقسام
اذا كنت عضو معنا

او التسجيل ان لم تكن عضو وترغب في الانضمام الي المنتدي

نتشرف بتسجيل

ادارة المنتدى
منتديات الجنرال صدام الشرعبي لي الهكرز والاختراقات
عزيزي الزائر عزيزتي الزائرة يرجي التكرم بتسجبل الدخول
لي اجل تستطيع اطهار جميع المواضيع والاقسام
اذا كنت عضو معنا

او التسجيل ان لم تكن عضو وترغب في الانضمام الي المنتدي

نتشرف بتسجيل

ادارة المنتدى
منتديات الجنرال صدام الشرعبي لي الهكرز والاختراقات
هل تريد التفاعل مع هذه المساهمة؟ كل ما عليك هو إنشاء حساب جديد ببضع خطوات أو تسجيل الدخول للمتابعة.


منتديات الجنرال صدام الشرعبي لي الهكرز والاختراقاأكبر منتدى هكر عربي متخصص بجديد الثغرات واختراق المواقع والأجهزة.منتدى إختراق البريد والايميلات- قسم اختراق دورة إحتراف التلغيمدورة اختراق IPs من نوع SIPو VOIP‎دورة كشف التلغيم‎دورة اختراق الأجهزة‎دورة
 
الرئيسيةأحدث الصورالتسجيلدخول


تحياتي لك الباب مفتوح لي في جميع الاقسام الذي تريده عند المشاركه  اي استفسار انا جاهز ان شاء الله
بحـث
 
 

نتائج البحث
 
Rechercher بحث متقدم
سحابة الكلمات الدلالية
المواضيع الأخيرة
» انشاء ./payload
الـ SQL Injection ، سلاح الدمار الشامل ضد تطبيقات الويب Icon_minitimeالأربعاء أغسطس 11, 2021 12:03 pm من طرف ٱ‏ٱلجنرٱل صدٱٱم ٱلشرعبيے

» دروس تعلم فنون الهكرز للمبتدئين
الـ SQL Injection ، سلاح الدمار الشامل ضد تطبيقات الويب Icon_minitimeالجمعة ديسمبر 29, 2017 1:33 pm من طرف ٱ‏ٱلجنرٱل صدٱٱم ٱلشرعبيے

» اقوى كود ازالة حسابات الفيس بوك
الـ SQL Injection ، سلاح الدمار الشامل ضد تطبيقات الويب Icon_minitimeالجمعة ديسمبر 29, 2017 1:27 pm من طرف ٱ‏ٱلجنرٱل صدٱٱم ٱلشرعبيے

» عملاق التحميل من التورنت Vuze 5.6.0.0 الجديد كليا واحدث الادوات والاصدرات
الـ SQL Injection ، سلاح الدمار الشامل ضد تطبيقات الويب Icon_minitimeالسبت مارس 07, 2015 11:36 am من طرف ٱ‏ٱلجنرٱل صدٱٱم ٱلشرعبيے

» برنامج FastPictureViewer 1.9 Build 342 لتعديل و عرض الصور بكل سهوله
الـ SQL Injection ، سلاح الدمار الشامل ضد تطبيقات الويب Icon_minitimeالأربعاء مارس 04, 2015 3:57 pm من طرف ٱ‏ٱلجنرٱل صدٱٱم ٱلشرعبيے

» احدث فلود اضافات روم 2015
الـ SQL Injection ، سلاح الدمار الشامل ضد تطبيقات الويب Icon_minitimeالأربعاء مارس 04, 2015 10:20 am من طرف ٱ‏ٱلجنرٱل صدٱٱم ٱلشرعبيے

» ]VB6[ أفضل الطرق لتجميل برامجك شبكة الجنرال صدام الشرعبي
الـ SQL Injection ، سلاح الدمار الشامل ضد تطبيقات الويب Icon_minitimeالثلاثاء مارس 03, 2015 10:58 am من طرف ٱ‏ٱلجنرٱل صدٱٱم ٱلشرعبيے

» الدرس الثالث -الجمل الشرطية و الدوارات شبكة الجنرال صدام الشرعبي
الـ SQL Injection ، سلاح الدمار الشامل ضد تطبيقات الويب Icon_minitimeالثلاثاء مارس 03, 2015 10:55 am من طرف ٱ‏ٱلجنرٱل صدٱٱم ٱلشرعبيے

» الدرس الثاني -المتغيرات شبكة الجنرال صدام الشرعبي
الـ SQL Injection ، سلاح الدمار الشامل ضد تطبيقات الويب Icon_minitimeالثلاثاء مارس 03, 2015 10:53 am من طرف ٱ‏ٱلجنرٱل صدٱٱم ٱلشرعبيے

» ]#C[ الدرس الاول تعلم خطوة بخطوة , مع الإجابة عن أي سؤال شبكة الجنرال صدام الشرعبي
الـ SQL Injection ، سلاح الدمار الشامل ضد تطبيقات الويب Icon_minitimeالثلاثاء مارس 03, 2015 10:52 am من طرف ٱ‏ٱلجنرٱل صدٱٱم ٱلشرعبيے

» ]C#[ الخطوه الثانية اضافةالبيانات بالـ LINQ شبكة الجنرال صدام الشرعبي
الـ SQL Injection ، سلاح الدمار الشامل ضد تطبيقات الويب Icon_minitimeالثلاثاء مارس 03, 2015 10:47 am من طرف ٱ‏ٱلجنرٱل صدٱٱم ٱلشرعبيے

» ]C#[ الخطوه الاولى لأستيعاب الـ LINQ شبكة الجنرال صدام الشرعبي
الـ SQL Injection ، سلاح الدمار الشامل ضد تطبيقات الويب Icon_minitimeالثلاثاء مارس 03, 2015 10:45 am من طرف ٱ‏ٱلجنرٱل صدٱٱم ٱلشرعبيے

» ]#C[ عمل برامج للاجهزه النقاله والPDA‏ شبكة الجنرال صدام الشرعبي
الـ SQL Injection ، سلاح الدمار الشامل ضد تطبيقات الويب Icon_minitimeالثلاثاء مارس 03, 2015 10:41 am من طرف ٱ‏ٱلجنرٱل صدٱٱم ٱلشرعبيے

نوفمبر 2024
الإثنينالثلاثاءالأربعاءالخميسالجمعةالسبتالأحد
    123
45678910
11121314151617
18192021222324
252627282930 
اليوميةاليومية
التبادل الاعلاني

انشاء منتدى مجاني



أفضل 10 فاتحي مواضيع
ٱ‏ٱلجنرٱل صدٱٱم ٱلشرعبيے
الـ SQL Injection ، سلاح الدمار الشامل ضد تطبيقات الويب Vote_rcap1الـ SQL Injection ، سلاح الدمار الشامل ضد تطبيقات الويب Voting_barالـ SQL Injection ، سلاح الدمار الشامل ضد تطبيقات الويب Vote_lcap1 
جنـرال الـهكـر
الـ SQL Injection ، سلاح الدمار الشامل ضد تطبيقات الويب Vote_rcap1الـ SQL Injection ، سلاح الدمار الشامل ضد تطبيقات الويب Voting_barالـ SQL Injection ، سلاح الدمار الشامل ضد تطبيقات الويب Vote_lcap1 
رابح..زيرؤ.فؤر.ايفر
الـ SQL Injection ، سلاح الدمار الشامل ضد تطبيقات الويب Vote_rcap1الـ SQL Injection ، سلاح الدمار الشامل ضد تطبيقات الويب Voting_barالـ SQL Injection ، سلاح الدمار الشامل ضد تطبيقات الويب Vote_lcap1 
ابوعلي
الـ SQL Injection ، سلاح الدمار الشامل ضد تطبيقات الويب Vote_rcap1الـ SQL Injection ، سلاح الدمار الشامل ضد تطبيقات الويب Voting_barالـ SQL Injection ، سلاح الدمار الشامل ضد تطبيقات الويب Vote_lcap1 
ملك الهكر
الـ SQL Injection ، سلاح الدمار الشامل ضد تطبيقات الويب Vote_rcap1الـ SQL Injection ، سلاح الدمار الشامل ضد تطبيقات الويب Voting_barالـ SQL Injection ، سلاح الدمار الشامل ضد تطبيقات الويب Vote_lcap1 
سنايبر1
الـ SQL Injection ، سلاح الدمار الشامل ضد تطبيقات الويب Vote_rcap1الـ SQL Injection ، سلاح الدمار الشامل ضد تطبيقات الويب Voting_barالـ SQL Injection ، سلاح الدمار الشامل ضد تطبيقات الويب Vote_lcap1 
العاشق
الـ SQL Injection ، سلاح الدمار الشامل ضد تطبيقات الويب Vote_rcap1الـ SQL Injection ، سلاح الدمار الشامل ضد تطبيقات الويب Voting_barالـ SQL Injection ، سلاح الدمار الشامل ضد تطبيقات الويب Vote_lcap1 
الساحر
الـ SQL Injection ، سلاح الدمار الشامل ضد تطبيقات الويب Vote_rcap1الـ SQL Injection ، سلاح الدمار الشامل ضد تطبيقات الويب Voting_barالـ SQL Injection ، سلاح الدمار الشامل ضد تطبيقات الويب Vote_lcap1 
__alsafa7__
الـ SQL Injection ، سلاح الدمار الشامل ضد تطبيقات الويب Vote_rcap1الـ SQL Injection ، سلاح الدمار الشامل ضد تطبيقات الويب Voting_barالـ SQL Injection ، سلاح الدمار الشامل ضد تطبيقات الويب Vote_lcap1 
صدام الشرعبي
الـ SQL Injection ، سلاح الدمار الشامل ضد تطبيقات الويب Vote_rcap1الـ SQL Injection ، سلاح الدمار الشامل ضد تطبيقات الويب Voting_barالـ SQL Injection ، سلاح الدمار الشامل ضد تطبيقات الويب Vote_lcap1 
أفضل 10 أعضاء في هذا المنتدى
ٱ‏ٱلجنرٱل صدٱٱم ٱلشرعبيے - 1851
الـ SQL Injection ، سلاح الدمار الشامل ضد تطبيقات الويب Vote_rcap1الـ SQL Injection ، سلاح الدمار الشامل ضد تطبيقات الويب Voting_barالـ SQL Injection ، سلاح الدمار الشامل ضد تطبيقات الويب Vote_lcap1 
رابح..زيرؤ.فؤر.ايفر - 300
الـ SQL Injection ، سلاح الدمار الشامل ضد تطبيقات الويب Vote_rcap1الـ SQL Injection ، سلاح الدمار الشامل ضد تطبيقات الويب Voting_barالـ SQL Injection ، سلاح الدمار الشامل ضد تطبيقات الويب Vote_lcap1 
جنـرال الـهكـر - 227
الـ SQL Injection ، سلاح الدمار الشامل ضد تطبيقات الويب Vote_rcap1الـ SQL Injection ، سلاح الدمار الشامل ضد تطبيقات الويب Voting_barالـ SQL Injection ، سلاح الدمار الشامل ضد تطبيقات الويب Vote_lcap1 
سنايبر1 - 146
الـ SQL Injection ، سلاح الدمار الشامل ضد تطبيقات الويب Vote_rcap1الـ SQL Injection ، سلاح الدمار الشامل ضد تطبيقات الويب Voting_barالـ SQL Injection ، سلاح الدمار الشامل ضد تطبيقات الويب Vote_lcap1 
ابوعلي - 55
الـ SQL Injection ، سلاح الدمار الشامل ضد تطبيقات الويب Vote_rcap1الـ SQL Injection ، سلاح الدمار الشامل ضد تطبيقات الويب Voting_barالـ SQL Injection ، سلاح الدمار الشامل ضد تطبيقات الويب Vote_lcap1 
العاشق - 49
الـ SQL Injection ، سلاح الدمار الشامل ضد تطبيقات الويب Vote_rcap1الـ SQL Injection ، سلاح الدمار الشامل ضد تطبيقات الويب Voting_barالـ SQL Injection ، سلاح الدمار الشامل ضد تطبيقات الويب Vote_lcap1 
نسيـم البحـر1 - 27
الـ SQL Injection ، سلاح الدمار الشامل ضد تطبيقات الويب Vote_rcap1الـ SQL Injection ، سلاح الدمار الشامل ضد تطبيقات الويب Voting_barالـ SQL Injection ، سلاح الدمار الشامل ضد تطبيقات الويب Vote_lcap1 
ملك الهكر - 27
الـ SQL Injection ، سلاح الدمار الشامل ضد تطبيقات الويب Vote_rcap1الـ SQL Injection ، سلاح الدمار الشامل ضد تطبيقات الويب Voting_barالـ SQL Injection ، سلاح الدمار الشامل ضد تطبيقات الويب Vote_lcap1 
لووورد اليمن - 24
الـ SQL Injection ، سلاح الدمار الشامل ضد تطبيقات الويب Vote_rcap1الـ SQL Injection ، سلاح الدمار الشامل ضد تطبيقات الويب Voting_barالـ SQL Injection ، سلاح الدمار الشامل ضد تطبيقات الويب Vote_lcap1 
__alsafa7__ - 18
الـ SQL Injection ، سلاح الدمار الشامل ضد تطبيقات الويب Vote_rcap1الـ SQL Injection ، سلاح الدمار الشامل ضد تطبيقات الويب Voting_barالـ SQL Injection ، سلاح الدمار الشامل ضد تطبيقات الويب Vote_lcap1 
تسجيل صفحاتك المفضلة في مواقع خارجية
تسجيل صفحاتك المفضلة في مواقع خارجية reddit      

https://sadam-alsharabi.roo7.biz

قم بحفض و مشاطرة الرابط منتديات الجنرال صدام الشرعبي لي الهكرز والاختراقات على موقع حفض الصفحات
تصويت
احصائيات
هذا المنتدى يتوفر على 2284 عُضو.
آخر عُضو مُسجل هو Mahrr فمرحباً به.

أعضاؤنا قدموا 3052 مساهمة في هذا المنتدى في 2055 موضوع

 

 الـ SQL Injection ، سلاح الدمار الشامل ضد تطبيقات الويب

اذهب الى الأسفل 
كاتب الموضوعرسالة
ٱ‏ٱلجنرٱل صدٱٱم ٱلشرعبيے

ٱ‏ٱلجنرٱل صدٱٱم ٱلشرعبيے


السٌّمعَة : 47
تاريخ التسجيل : 19/11/2012
العمر : 34
الموقع : https://m.facebook.com/profile.php?id=465134066889659

الـ SQL Injection ، سلاح الدمار الشامل ضد تطبيقات الويب Empty
مُساهمةموضوع: الـ SQL Injection ، سلاح الدمار الشامل ضد تطبيقات الويب   الـ SQL Injection ، سلاح الدمار الشامل ضد تطبيقات الويب Icon_minitimeالأربعاء أبريل 16, 2014 4:15 pm

الـ SQL Injection ، سلاح الدمار الشامل ضد تطبيقات الويبالكاتب: Binary Tree
http://www.devhall.com
ما هو الـ SQL Injection
يسعى الكثير من مطوري مواقع الويب و تطبيقاتها الى بناء برامج آمنة الى حد كبير ، وذلك بإستخدام العديد من الأساليب البرمجية المتبعة و التي تقدمها كل لغة لحماية مستخدميها ، ولكن هل تلك الدوال المقدمة من لغات البرمجية كافية فعلا لضمان حماية التطبيقات ضد أي إعتداء أو تشويه للبيانات المخزنة ؟
بالطبع لا ، فالاسلوب البرمجي بحد ذاته يعتبر عامل أساسي في تحديد مستوى الأمان الذي يتحلى به التطبيق ، و لعل العديد من المبرمجين في الآونة الأخيرة أحسوا بعظم المخاطر الأمنية التي بدأت تظهر نتيجة توفر المعلومات التقنية لدى العديد من ضعفاء النفوس ، و بسبب إحتدام المنافسة التجارية بين مطوري التطبيقات ، خاصة تطبيقات الويب التي تعبر عن مستقبل التطوير بشكل كامل
سنتحدث في هذه المقالة المطولة بعض الشيء عن واحد من أشد الأخطار فتكاً في تطبيقات الويب ، حيث يمكن لهذه النوعية من الهجمات أن تقوم بمسح قاعدة بيانات كاملة ، او سرقة محتوياتها ، بتعديل بسيط في نماذج الإدخال ، أو بتغيير بسيط جدا في عنوان الموقع !!
الـ SQL Injection أو إن صح لنا تعريبه بـ " حقن الـ SQL " ، هو نوع من الهجمات يعتمد على إضافة شيفر SQL الى المتغيرات المررة للنظام ، بحيث يتم تنفيذ هذه الجزئية من الشيفرة مع الشيفرة الأساسية الموجودة في النظام ، لتوضيح الصورة ، سنطرح هذا المثال المكتوب بلغة PHP بإستخدام نظام قواعد البيانات MySQL :
&0 ( } echo " You are logged in ! " ; { else } echo " you are not allowed to log in here ! " ; { ?<
Submit
هذه الشيفرة تقوم ببساطة بعرض مربعين لإدخال إسم المستخدم و كلمة المرور ، ثم تقوم بفحص المدخلات ، فإذا وجدت في قاعدة البيانات سجل أو أكثر يطابق المدخلات فستسمح للزائر بالدخول ، و اذا لم تجد فلن تسمح له
الأن تخيل لو أن المخترق قام بإدخال التالي في حقل كلمة المرور :
' OR username LIKE '%
بذلك ستصبح جملة الإستعلام في أصل البرنامج بهذا الشكل :
SELECT * FROM users WHERE username=' ' AND password= ' ' OR username LIKE '%'
جملة الإستعلام ستكون نتيجتها أكثر من سجل واحد بكل تأكيد ، ببساطة ستكون نتيجتها كافة السجلات ، لأن أي سجل في قاعدة البيانات سيطابق شروط هذا الإستعلام ، بسبب وجود الشرط OR
هذا يعني أن المخترق سيتمكن من الوصول الى المنطقة التي لا يمكن الا للأعضاء أن يصلوا اليها !!
ما هي مخاطر الـ SQL Injection
مخاطر الـ SQL Injection تتنوع بحسب وظائف التطبيق نفسه ، فعلى سبيل المثال لنفترض أن لدينا موقع لتسجيل الطلاب و الإستعلام عن درجاتهم و مستوياتهم ، يمكن القيام بما يلي عن طريق الـ SQL Injection :
1- الإستعلام عن درجة طالب بدون معرفة كلمة المرور الخاصة به !!
2- حذف سجل طالب أو مجموعة من الطلاب
3- حذف جدول كامل من قاعدة البيانات
4- إدراج سجل جديد في قاعدة البيانات
5- إكتشاف مسميات الجداول و تركيب و بنية قاعدة البيانات عن طريق التجربة
6- التعديل بمحتوى سجل محدد و تغيير بياناته !!
هذه مجموعة بسيطة من الكوارث التي قد تسببها هذه النوعية من الهجمات ، و فيما يلي سنستعرض بعض الأمثلة
مثال على أمر يقوم بسحب البيانات عن طريق أمر SQL مدمج :
SELECT Id,Title,Abstract FROM News WHERE Category=1 UNION SELECT 1,UsrName,Passwd FROM Usr
الجزء الملون من الإستعلام هو المتغيير الممرر الى البرنامج ، حيث يقوم المخترق في هذا المثال بتمرير أمر SQL آخر وظيفته جلب إسم المستخدم و كلمة المرور من الجدول Usr ، الأن أصبح المخترق قادر على رؤية أسماء المستخدمين و كلمات مرورهم جميعها ... هل لك أن تتخيل ذلك ؟؟؟
مثال على أمر يقوم بإدراج بيانات مستخدم جديد :
SELECT email, passwd, login_id, full_name
FROM members
WHERE email = 'x';
INSERT INTO members )'email','passwd','login_id','full_name'(
VALUES )'btree@devhall.com','hello','Btree','Binary Tree'(;--';
الجزء الملون يوضح المتغير الذي مرره المخترق الى النظام كقيمة للحقل email الذي من المفترض كقيمة نظامية أن يحتوي على بريد إلكتروني و ليس على إستعلام SQL كما فعل هذا المخترق في المثال السابق ، هذه الشيفرة التي أضافها المخترق تقوم بإضافة عضو جديد الى الموقع بالبيانات المذكورة !!!
مثال يقوم بحذف جدول كامل من قاعدة البيانات !!
SELECT fieldlist
FROM customers
WHERE name = 'Binary Tree';
الشيفرة السابقة تعمل بشكل سليم و نظامي ، حيث تم تمرير قيمة Binary Tree للمتغير في حقل name ، لكن تخيل لو قام المخترق بالتالي :
SELECT fieldlist
FROM customers
WHERE name = '\''; DROP TABLE users; --';
لو قام المستخدم بإدخال العبارة الملونة بالأحمر في حقل الإسم ، هذا يعني أن جدولا بأكمله سيتم حذفه من قاعدة البيانات !! كارثة اليس كذلك ؟
أعتقد أن هذه الأمثلة كافية لإيقاظ المبرمجين الغافلين عن المخاطر الفعلية وراء مدخلات المستخدمين
ما هي الحلول ؟
بعد أن وضحنا المخاطر الفعلية وراء هذه النوعية من الهجمات ، إسمح لي عزيزي القارئ أن أطرح بعض الحلول و الوسائل لصد هذا النوع من الهجمات ، في ما يلي سأستعرض هذه الحلول على شكل نقاط :
1- لا تقم بعرض رسائل خطأ تفصيلية في نظامك ، بعض المبرمجين للاسف يقوم بعرض رسائل خطأ تبين أين كانت المشكلة في الإستعلام ، في أي سطر ، و في أي جدول من قواعد البيانات ، هذه التفاصيل تعتبر تفاصيل ثمينة جدا للمخترقين ، حيث سيتمكنون من خلالها تكوين صورة كاملة عن بنية قاعدة البيانات الخاصة بنظامك و معرفة التركيب الفعلي لأوامر الإستعلامات حتى و إن لم يروا الشيفرة المصدرية !!
2- تحقق من كافة المدخلات التي يدخلها المستخدم ، على سبيل المثال ، اذا كان من المفترض أن يدخل المستخدم في هذا الحقل رقما ، فلا تسمح له بتاتا بإدخال أي شيئ عدا الأرقام ، أو إن كان هذا الحقل مخصص لعناوين البريد الإلكتروني ، فلا تسمح بكتابة شيء غير البريد الإلكتروني عن طريق التحقق بواسطة الـ Regular Expressions ، أيضا اللغات الحديثة للتطوير توفر مجموعة من الدوال تخلص المدخلات من الشوائب الغير نظامية في الإدخال ، فعلى سبيل المثال ، في نظام قواعد البيانات MySQL يمكن إستخدام الدالة التالية :
safeEscapeString)$parameter(
حيث ستزيل هذه الدالة اي أوامر SQL تكتب في المتغيرات الممرة للنظام
3- عطل خاصية الإستعلامات المتداخلة Nested Queries في نظام قواعد البيانات الذي تستخدمه
في الختام ، أتمنى أن أكون قد وفقت في عرض معلومات مفيدة عن واحدة من أخطر أنواع الهجمات على تطبيقات الويب
الرجوع الى أعلى الصفحة اذهب الى الأسفل
https://sadam-alsharabi.roo7.biz
 
الـ SQL Injection ، سلاح الدمار الشامل ضد تطبيقات الويب
الرجوع الى أعلى الصفحة 
صفحة 1 من اصل 1
 مواضيع مماثلة
-
» GILE WebDesign SQL Injection Vulnerability
» المرجع الشامل فى جمل SQL
» موضوعنا اليوم عن حقن قواعد البيانات ( sql injection )
» بوت جوال ع طريق الويب بتاريخ2013/1/15
» [VB.Net] عمل زر بحث لقاعدة بيانات في تطبيقات الانترنت ASP.net

صلاحيات هذا المنتدى:لاتستطيع الرد على المواضيع في هذا المنتدى
منتديات الجنرال صدام الشرعبي لي الهكرز والاختراقات :: قسم خاص في لغة اوراكل :: قــائمـة قـاعـدة الـبيانات - لـغة ال SQL-
انتقل الى: