Хакинг – Угрозы, Взломы, Безопасность

Хакинг – Угрозы, Взломы, Безопасность

В книге рассказывается про хакинг на языках веб-разработки, а так же общие положения социального инжениринга.

Жанр: Программирование
Цикл: Не является частью цикла
Год публикации: 2025

Читать онлайн Хакинг – Угрозы, Взломы, Безопасность



1. Описание

SQL-инъекция (SQL Injection) – это тип уязвимости веб-приложений, который позволяет злоумышленнику вставлять или "инъектировать" произвольные SQLзапросы в запросы к базе данных. Это может привести к несанкционированному доступу к данным, их изменению или даже удалению. SQL-инъекции возникают, когда пользовательский ввод не обрабатывается должным образом и напрямую используется в SQL-запросах.

История SQL-инъекций восходит к началу 90-х годов, когда веб-приложения начали активно взаимодействовать с базами данных. С тех пор SQL-инъекции стали одной из самых распространенных и опасных уязвимостей в вебприложениях. По данным OWASP (Open Web Application Security Project), SQLинъекции регулярно занимают верхние строчки в списках наиболее критичных уязвимостей.

2. Пример кода

Рассмотрим простой пример уязвимого кода на PHP, который использует пользовательский ввод для выполнения SQL-запроса:




3. Подробный разбор кода

В этом коде мы видим, что значение параметра idберется напрямую из GETзапроса. Затем это значение вставляется в SQL-запрос без какой-либо проверки или обработки. Это создает уязвимость, поскольку злоумышленник может передать в параметреidпроизвольный SQL-код.

Например, если злоумышленник введет 1; DROP TABLE users; , то итоговый запрос будет выглядеть так:

4. Теоретический пример использования

Представим, что вы разрабатываете веб-приложение для управления пользователями. Ваша цель – предоставить возможность пользователям просматривать свои профили. Однако, если вы не обеспечите защиту от SQLинъекций, злоумышленник может воспользоваться этой уязвимостью.

Например, злоумышленник может ввести в поле URL параметр id, равный 1 OR 1=1 . Это приведет к выполнению следующего запроса:

Этот запрос вернет всех пользователей из таблицы users, так как условие 1=1всегда истинно. Таким образом, злоумышленник получит доступ к данным всех пользователей, что может привести к утечке конфиденциальной информации.

Для предотвращения таких атак важно использовать методы защиты, такие как подготовленные выражения и параметризованные запросы, которые гарантируют, что пользовательский ввод не будет интерпретироваться как часть SQL-запроса.

Типы SQL-инъекций

1. Описание

SQL-инъекции можно классифицировать на несколько типов в зависимости от их сложности и механизма действия. Основные типы SQL-инъекций включают:

Простые SQL-инъекции: Это базовые инъекции, которые используют простые запросы для получения данных из базы.

Углубленные (или сложные) SQL-инъекции: Эти инъекции используют более сложные техники, такие как подзапросы и объединения, чтобы извлечь или модифицировать данные.

Бланковые SQL-инъекции: Эти инъекции не возвращают видимых данных, но могут использоваться для выполнения команд или изменения данных в базе.

Уязвимости на основе времени (Time-based): Эти инъекции используют задержки в ответах базы данных для определения наличия уязвимостей.

2. Пример кода

Простой SQL-инъекция



Углубленная SQL-инъекция




Бланковая SQL-инъекция



Уязвимость на основе времени



3. Подробный разбор кода

Простая SQL-инъекция: В этом примере злоумышленник может передать в параметре usernameзначение admin' – , что приведет к выполнению запроса, который игнорирует все, что после –, и вернет данные о пользователе с именем admin.

Углубленная SQL-инъекция: Здесь злоумышленник может передать в параметре idзначение 1 UNION SELECT username, password FROM users – , что позволит ему извлечь имена пользователей и пароли из таблицы users.

Бланковая SQL-инъекция: В этом случае злоумышленник может передать значение 1; DROP TABLE users; в параметре id, что приведет к выполнению двух запросов – обновлению пользователя и удалению таблицы.


Вам будет интересно
Ваш гид по профессии «Программист станков с ЧПУ»Этот обзор собран на основе глубокого анализа десятков реальных вакансий. Здесь вы найдете всё: от сухих фактов до перспектив развития. Он поможет и старшекласснику понять, подходит ли ему эта сфера, и соискателю без опыта – увидеть четкий путь в профессию.Изображения созданы при помощи сервиса Шедеврум....
Читать онлайн
Хочешь вырасти из джуна в крутого сеньора, техлида или стаффа? Эта книга станет твоим навигатором! Автор сам прошел путь от джуна до принципал-разработчика, а потом менеджера в Uber, и он честно рассказывает:• Как не застрять на одном уровне, даже если вам отказали в повышении.• Какие навыки реально нужны на каждом этапе карьеры: не только кодинг, но и умение работать в команде, доносить идеи, брать ответственность.• Как стать сеньором в FAANG?• Книгу можно читать с любого места! Застрял перед п...
Читать онлайн
Самоучитель: своя нейросеть с нуля. Для тех, кто вчера купил компьютер – практическое руководство по созданию и использованию нейросетей, рассчитанное на читателя без технического образования. Книга пошагово проведёт от простейшего перцептрона до собственной модели, готовой к интеграции в веб-сервис или Telegram-бота. Вы узнаете, как работают современные архитектуры, освоите библиотеки PyTorch, TensorFlow и Hugging Face, научитесь обрабатывать текст, изображения, звук и создавать мультимодальные...
Читать онлайн
ИИ – это не фантастика, а реальный помощник в учёбе, творчестве и жизни. Эта книга – практическое руководство, которое покажет, как превратить ChatGPT и DeepSeek в вашего личного наставника.Вы узнаете: как задавать ИИ правильные вопросы и получать точные ответы;как учиться быстрее и глубже – без зубрёжки; как использовать ИИ для подготовки к экзаменам, написания текстов, изучения языков; как преподавателям и родителям использовать ИИ как инструмент поддержки; как взрослым освоить новые темы, про...
Читать онлайн
Supercharge your coding with AI – even if you’re just starting out. “Prompt. Build. Ship.” is more than a book – it’s a hands-on bootcamp for the future of web development. Whether you’re a self-taught coder, a junior dev, or an experienced builder ready to embrace AI, this guide shows you exactly how to 3x your workflow using generative AI tools.Step-by-step, you’ll learn how to…Craft effective prompts that get real results.Use ChatGPT, Claude, Gemini, and DeepSeek like a pro.Build websites and...
Читать онлайн
В современном мире искусственный интеллект (ИИ) стал неотъемлемой частью многих отраслей, включая программирование. Эта книга предназначена для разработчиков, инженеров и всех, кто интересуется применением ИИ в программировании. В ней мы рассмотрим основные концепции ИИ, его применение в различных областях программирования, а также предоставим практические примеры и рекомендации по использованию ИИ в реальных проектах....
Читать онлайн
В современном мире торговли на бирже искусственный интеллект (ИИ) стал ключевым инструментом для достижения успеха. Эта книга посвящена применению ИИ для создания бота, способного анализировать рыночные данные и принимать решения о покупке и продаже акций. Автор подробно описывает процесс создания бота, от теоретических основ до практической реализации, и предоставляет читателям необходимые знания и навыки для создания своего собственного бота....
Читать онлайн
Эта книга написана для того, чтобы помочь индивидуальному разработчику или небольшому творческому коллективу создать революционный продукт и вывести его на рынок. В ней простым и доступным языком описаны ключевые моменты в проектировании, разработке, продвижении и монетизации приложений. Также в книге подробно изучаются современные технологии вовлечения, убеждения и удержания, тайминги взаимодействия, способы оптимизации труда и построения эффективной команды. Книга от практика 20+ лет опыта раз...
Читать онлайн
В книгу входят две известные повести: «Беглец» и «Небо с овчинку». Первая повесть – о трагической судьбе подростка. Основная тема второй – защита природы....
Читать онлайн
Древние замки всегда полны тайн, а внешний вид завораживает всякого посетителя. Лариса Теплякова написала книгу, для любопытных туристов, для тех, кто любит познавательные путешествия. Хотите узнать, где больше всего замков, и что в них сейчас находится? Кто сейчас владеет замками, и кто из мировых знаменитостей праздновал свои свадьбы в замках? Чем отличаются русские кремли и европейские замки? Обо всем вы узнаете на страницах этой книги.Сама писательница назвала эту книгу «Тайны кремлей и замк...
Читать онлайн