أدوات وبرامج فيديوامن وحماية تطبيقات الويب - فيديوشروحات الفيديو

فيديو: استخدام sqlmap فى حقن قاعدة البيانات عن طريق flags

تم أرشفة هذا المحتوى


توضيح إحدى طرق الهجوم على سيرفر قواعد البيانات باستخدام أداة sqlmap. الأداة مفتوحة المصدر كتبت بلغة بايثون وتقوم باكتشاف واستغلال ثغرات sql injection بكل اشكالها سواء inband أو blind ومن خلالها نستطيع اختراق السيرفر والتحكم به بشكل كامل في بعض الأحيان.

 

فى البدايه أود توضيح أن ثغرات SQL injection أصبحت من أخطر ثغرات تطبيقات الويب نظرا لسهولة وتطور استغلالها واعطائها صلحيات للمهاجم تصل احيانا الى root على السيرفر. في هذا المثال السيرفر يستخدم طريقة التصريح عن طريق الـ cookies بمعنى لو كانت الـ cookie غير صحيحه سيقوم الموقع باعداة التوجيه لصفحة الدخول مره اخرى.

 

الفيديو:

 

موقع أداة sqlmapصفحة التحميل

عن الكاتب:


أحمد العنتري, طالب فى هندسه قسم حاسبات وتحكم بأكادمية السلاب. مبرمج بايثون أستخدم لينوكس كنظام أساسي وأحب الحمايه ومعرفة وسائل الاختراق المختلفة.

‫15 تعليقات

  1. السلام عليكم
    وهل تسمي هذا شرحاً ؟؟
    يمكن تسميته لمحة .. يا ريت تشرح بالتفصيل في المرات القادمة ..
    تحياتي ..وشكرا لك .

  2. مشكلة لما الواحد بسوي نفسه عالم في كل شيء, ما بيعجبه شيء ولا يفعل شيء!

    يا ريت ما تنتقد بهذا الأسلوب مرة ثانية.. ما هو بسيط و “لمحة” بالنسبة لك قد يكون أمر جديد وبداية طريق لغيرك.

  3. شكرا على الفيديو وفعلا sqlmap اداة قوية
    SyRiAn_34G13 : الله يهديك بدال الكلام الي قلته كنت شكرته على الفيديو والاخ احمد شروحاته مميزة له اكثر من شرح ولو انت فاهم الي بالفيديو من قبل في غيرك مو فاهم ومع اني اعرف الsqlmap من قبل لكن استفدت من الفيديو لما شفت السكربت الي يشتغل عليه الاخ احمد سكربت تجربة الثغرات واول مرة يمر علي وانشالله ببحث عن واحد مثله للتجربة عليه ^^

  4. شكرا شباب على المرور
    الجديد فى الفيديو هو فكرة ال flags لانى لاحظت ان معظم الشباب بيستخدمو -u بس

  5. لقد فهمت المعنى بالعكس تماما
    أنا قصدت أني لم أستفد شيئا من هذا الشرح الذي لا يعبر أبداً عن اي نية لإيصال اي معلومة .. فقط استعراض لشكل الأداة !!!!
    ولست أنا من النوع المتكبر .. بل من النوع الذي أتابع المعلومة بهدوء .. ولكن يثير غضبي أحيانا عدم وصولي إليها بسبب عوائق ثانوية كما حصل في هذا الشرح .

    تحياتي لك ..

  6. شكرا لك اخي على الشرح المبسط
    لكن اخي واجهتني مشكلة بالسكريبت و الرسالة اللي يقولهالي هي

    Magic Quotes are on, you will not be able to inject SQL.
    لذا ممكن احد يورينا طريقة تعطيل الماجيك كويتس
    تحياتي لك اخي

  7. السلام عليكم اخى اشكرك على المجهود هذا

    ارجو من الله ان يكون عملك طريق الى النهضه فى هذا المجال

    كما ارجو منك كتابه الاوامر المستخدمه فى اسفل الشرح

    حفظك الله

  8. شرح واضح ماشاء الله عليك اخوي احمد،

    سؤالي هو اقدر استخدم الاداه sqlmap في نظام ويندوز؟

    تقبل تحىاتي وودي

  9. الاداه تحتاج الى مفسر بايثون فقط
    افتح التيرمنال و اذهب الى المسار الموجود فيه البرنامج واكتب:
    python sqlmap.py -h

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *

زر الذهاب إلى الأعلى