مقدمه :

عمدتا توسط گران وب ، بیشتر تمرکز خود را بر روی موارد امنیتی سیستم عامل و یا Webserver میزبان برنامه های خود قرار داده اند و کمتر به حفره های امنیتی موجود در کدهای خود توجه می کنند . یکی از مواردی که همواره می تواند سایت هایی را که از کاربر ، داده ( data) دریافت می کنند را تهدید کند حملات SQL injection یا تزریق SQL است .تزریق SQL تکنیکی است که مهاجم را قادر می سازد تا دستورات DQL غیر مجاز را با بهره گیری از ضعف عدم کنترل داده های ورودی توسط برنامه نویس – که از این ورودی ها در عبارات SQL پویای حودش استفاده می کند – در بانک اطلاعاتی اجرا کند .نکته قابل توجه و در خور اهمیت اینست که تزریق SQL از طریق port شماره 80 ( همان port که سرور های وب سایت ها از ان برای ارسال و دریافت اطلاعات به مرورگر client ها استفاده می کنند ) انجتم می شود و بنابراین فایروالها و دیگر سیستم های امنیتی قادر به تشخیص و جلو گیری از ان نیستند .

این مقوله برای اولین بار توسط david Litchfield در مقاله ای به نام web application disassembly with ODBC error message مطرح گردید .

tهرست مطالب

فصل اول – کلیات

  • دستور select
  • دستور update
  • دستور delete
  • دستور insert
  • دستور union
  • تابع sum
  • تابع min
  • عبارت group by
  • عبارت having
  • عبارت سمی کالن
  • عبارت

فصل دوم – مفهوم تزریق SQL

2-1- تزریق SQLدر صفحه login                                                                          ا        11

2-2- تزریق sqlدر  Querystringا                                                                            20

فصل سوم – بررسی سایت هدف                                                                                       23

3-1- بررسی اسیب پذیری سایت هدف                                                                            24

3-2- بدست اوردن مشخصات بانک اطلاعاتی                                                                   25

3-2-1- بدست اوردن نام جدول بانک اطلاعلتی                                                                26

3-2-2- بدست اوردن اسامی ستون های جدول                                                                  27

3-2-3- بدست اوردن نوع ستون های جدول                                                                     28

3-2-4- بدست اوردن نام بانک اطلاعاتی                                                                         29

فصل چهارم – نفوذ به بانک اطلاعاتی                                                                               31

4-1- تذکر مهم                                                                                                             32

4-2- سرقت اطلاعات                                                                                                     33

4-3- تغییر اطلاعات                                                                                                       35

4-3-1- تغییر اطلاعات یک رکورد                                                                                 35

4-3-2- تغییر اطلاعات برخی از رکوردها                                                                         35

4-4- درج اطلاعات جدید                                                                                               36

4-4-1- درج رکورد جدید                                                                                             36

4-4-2- درج یک ستون جدید                                                                                        36

4-5- حذف اطلاعات                                                                                                     37

4-5-1- حذف یک رکورد                                                                                             37

4-5-2- حذف برخی از رکورد ها                                                                                  37

4-5-3- حذف تمامی رکوردها                                                                                       37

4-5-4- حذف ستون                                                                                                      38

4-5-5- حذف جدول                                                                                                    38

4-5-6- حذف بانک اطلاعاتی                                                                                        38

فصل پنجم – حمله به serverبانک اطلاعاتی سایت

5-1- بدست اوردن نام server                                                                         ا              40

5-2- بدست اوردن ورژن server                                                                     ا               40

5-3- بررسی اسیب پذیری server                                                                    ا              41

5-4- نفوذ به درون server                                                                  ا                          42

 

قصل ششم- روش های محافظت در برابر حملات sql ingection

6-1- استفاده از رویه های ذخیره شده SQL server                                          ا              45

6-2- حذف کلمات و کاراکتر های خطرناک                                                                   45

6-3- اطمینان از صحت نوع اطلاعات ورودی                                                                     46

6-4- تعیین طول مجاز برای اطلاعات ورودی                                                                    46

6-5- رمزنگاری اطلاعات حساس                                                                                     47

6-6- عدم نمایش خطا در محیط web                                                                             47

فصل هفتم – نتیجه گیری و پیشنهادات

فهرست منابع فارسی                                                                                                         50

چکیده ا نگلیسی                                                                                                             51


 

مقطع کارشناسی ارشد

بلافاصاله بعد از پرداخت به ایمیلی که در مرحله بعد وارد میکنید ارسال میشود.


 

فایل pdf غیر قابل ویرایش

قیمت25000تومان

قیمت45000تومان