SQL INJECTION
SQL INJECTION
N i dung trình bày:ộ
N i dung trình bày:ộ
SQL Injection là gì?
SQL Injection là gì?
Các d ng t n công b ng SQL ạ ấ ằ
Các d ng t n công b ng SQL ạ ấ ằ
Injection
Injection
K Thu t t n công b ng sql injectionỹ ậ ấ ằ
K Thu t t n công b ng sql injectionỹ ậ ấ ằ
Cách phòng tránh
Cách phòng tránh
Demo
Demo
SQL Injection là gì?
SQL Injection là gì?
SQL injection là m t kĩ thu t t n công l i d ng l ộ ậ ấ ợ ụ ỗ
SQL injection là m t kĩ thu t t n công l i d ng l ộ ậ ấ ợ ụ ỗ
h ng trong vi c ki m tra d li u nh p trong các ổ ệ ể ữ ệ ậ
h ng trong vi c ki m tra d li u nh p trong các ổ ệ ể ữ ệ ậ
ng d ng web và các thông báo l i c a h qu n tr ứ ụ ỗ ủ ệ ả ị
ng d ng web và các thông báo l i c a h qu n tr ứ ụ ỗ ủ ệ ả ị
c s d li u đ "tiêm vào" (injectiơ ở ữ ệ ể
c s d li u đ "tiêm vào" (injectiơ ở ữ ệ ể on
on) và thi hành
) và thi hành
các câu l nh SQL b t h p pháp.ệ ấ ợ
các câu l nh SQL b t h p pháp.ệ ấ ợ
H u qu c a nó r t tai h i vì nó cho phép nh ng k ậ ả ủ ấ ạ ữ ẻ
H u qu c a nó r t tai h i vì nó cho phép nh ng k ậ ả ủ ấ ạ ữ ẻ
t n công có th th c hi n các thao tác xóa, hi u ấ ể ự ệ ệ
t n công có th th c hi n các thao tác xóa, hi u ấ ể ự ệ ệ
ch nh, ỉ
ch nh, ỉ do có toàn quy n trên c s d li u c a ề ơ ở ữ ệ ủ
do có toàn quy n trên c s d li u c a ề ơ ở ữ ệ ủ
ng d ng, th m chí là server mà ng d ng đó đang ứ ụ ậ ứ ụ
ng d ng, th m chí là server mà ng d ng đó đang ứ ụ ậ ứ ụ
ch y. ạ
ch y. ạ
L i này th ng x y ra trên các ng d ng web có d ỗ ườ ả ứ ụ ữ
L i này th ng x y ra trên các ng d ng web có d ỗ ườ ả ứ ụ ữ
li u đc qu n lí b ng các h qu n tr c s d ệ ượ ả ằ ệ ả ị ơ ở ữ
li u đc qu n lí b ng các h qu n tr c s d ệ ượ ả ằ ệ ả ị ơ ở ữ
li u nh SQL Server, MySQL, Oracle, DB2, ệ ư
li u nh SQL Server, MySQL, Oracle, DB2, ệ ư
Sysbase.
Sysbase.
Các d ng t n công b ng SQL Injectionạ ấ ằ
Các d ng t n công b ng SQL Injectionạ ấ ằ
Có b n d ng thông th ng bao g m: ố ạ ườ ồ
Có b n d ng thông th ng bao g m: ố ạ ườ ồ
V t qua ki m tra lúc đăng nh p (authorization ượ ể ậ
V t qua ki m tra lúc đăng nh p (authorization ượ ể ậ
bypass)
bypass)
S d ng câu l n SELECT ử ụ ệ
S d ng câu l n SELECT ử ụ ệ
S d ng câu l nh INSERT ử ụ ệ
S d ng câu l nh INSERT ử ụ ệ
S d ng các stored-procedures [2], [3]ử ụ
S d ng các stored-procedures [2], [3]ử ụ
D ng t n công v t qua ki m tra ạ ấ ượ ể
D ng t n công v t qua ki m tra ạ ấ ượ ể
đăng nh pậ
đăng nh pậ
Đăng nh p nh vào l i khi dùng các câu l nh ậ ờ ỗ ệ
Đăng nh p nh vào l i khi dùng các câu l nh ậ ờ ỗ ệ
SQL thao tác trên c s d li u c a ng ơ ở ữ ệ ủ ứ
SQL thao tác trên c s d li u c a ng ơ ở ữ ệ ủ ứ
d ng web. ụ
d ng web. ụ
Trong tr ng h p này, ng i ta có th dùng ườ ợ ườ ể
Trong tr ng h p này, ng i ta có th dùng ườ ợ ườ ể
hai trang, m t trang HTML đ hi n th form ộ ể ể ị
hai trang, m t trang HTML đ hi n th form ộ ể ể ị
nh p li u và m t trang ASP dùng đ x lí ậ ệ ộ ể ử
nh p li u và m t trang ASP dùng đ x lí ậ ệ ộ ể ử
thông tin nh p t phía ng i dùng. Ví d : ậ ừ ườ ụ
thông tin nh p t phía ng i dùng. Ví d : ậ ừ ườ ụ
login.htm
login.htm
<form action="ExecLogin.asp" method="post">
<form action="ExecLogin.asp" method="post">
Username: <input type="text"
Username: <input type="text"
name="fUSRNAME"><br>
name="fUSRNAME"><br>
Password: <input type="password"
Password: <input type="password"
name="fPASSWORD"><br>
name="fPASSWORD"><br>
<input type="submit">
<input type="submit">
</form>
</form>
![Bài giảng Matlab và ứng dụng Thanh Hải: Tổng hợp kiến thức [mới nhất]](https://cdn.tailieu.vn/images/document/thumbnail/2024/20241109/nienniennhuy11/135x160/8511731148926.jpg)
