Hello there, ('ω')ノ
政府機関の Web サイトに SQL インジェクションの脆弱性が見つかったを。
脆弱性:
SQL インジェクション
記事:
脆弱なウェブサイトを見つけるために Google a dork でクイック検索を行い。
興味深い結果を見つけ。
それらのウェブサイトの 1つから、SQL インジェクションの脆弱性を発見し。
MySQL データベースから機密情報を悪用して取得することに成功して。
SQL インジェクション攻撃:
SQLi の脆弱性を見つけて悪用するために使用したすべてのツールを次に示して。
Google Dork、Burp Suite、Sqlmap
詳細について説明することに。
Google 検索エンジンでdork を検索して。
_news/news.php?id=
興味深い結果がいくつか見つかり。
それらの検索結果の 1つから Web サイトを見つけ。
元の Web サイトの URL を開示することはできず。
それをexample.orgと呼ぶことに。
そのWebサイトで、SQLインジェクションに対して。
脆弱な興味深いパラメータを見つけるとシステムエラーが表示されて。
http://example.org/news.php?id=45'
次に、Kali マシンで Burp Suiteを起動し、リクエストを取得して。
req.txt テキスト ファイルに保存して。
ここで、自動 SQL インジェクション攻撃のリクエスト ファイルを使用して。
sqlmap SQL インジェクション ツールを実行し。
すべてのデータベースと、管理者、ユーザ、電子メールや。
md5 ハッシュ パスワードなどの機密情報をダンプして。
Sqlmap の悪用とコマンド :
sqlmap -r req.txt -dbs
sqlmap -r req.txt -D db_name --tables
sqlmap -r req.txt -D db_name -T table_name --columns
sqlmap -r req.txt -D db_name -T table_name -C column_name --dump
これが、政府機関の Web サイトで重大度の高い SQL インジェクションの。
脆弱性を見つけた方法で。
Best regards, (^^ゞ
