SQL Injection

SQL Injection

Tác giả: Nguyễn Ngọc Dũng, Nguyễn Thanh Truyền, Nguyễn Duy Thanh

Lĩnh vực: Khoa CNTT, University Of Science – DH Khoa Học Tự Nhiên

Nội dung tài liệu:

Tài liệu này trình bày về kỹ thuật SQL Injection, một phương pháp tấn công khai thác lỗ hổng trong kiểm tra dữ liệu nhập của ứng dụng web và thông báo lỗi của hệ quản trị cơ sở dữ liệu. SQL Injection cho phép kẻ tấn công Inject và thi hành các câu lệnh SQL bất hợp pháp.

Nội dung bao gồm:

• Giới thiệu sơ lược về SQL (Structured Query Language) và khả năng của nó trong việc quản lý, truy vấn dữ liệu.
• Tìm hiểu chi tiết về SQL Injection, mức độ phổ biến và lỗ hổng của nó trong các ứng dụng web, cơ sở dữ liệu SQL và các ngôn ngữ lập trình.
• Phân tích các phương pháp tấn công SQL Injection, bao gồm các kỹ thuật khai thác chuỗi (string fields) và kiểu dữ liệu numberic.
• Liệt kê các ký tự thường được sử dụng trong SQL Injection.
• Đề cập đến các phương pháp phòng tránh và các kỹ thuật thử nghiệm liên quan đến SQL Injection như Input Validation, Information gathering, 1=1 Attacks, Extracting Data, OS Interaction, OS Cmd Prompt, và Expand Influence.

Mục lục chi tiết:

• Giới thiệu sơ lược về SQL.
• Tìm hiểu SQL Injection.
• Các phương pháp của SQL Injection.
• Kỹ thuật trốn (Evasion Techniques).
• Phương pháp phòng tránh.
• Content (bao gồm Input Validation, Information gathering, 1=1 Attacks, Extracting Data, OS Interaction, OS Cmd Prompt, Expand Influence).