Seo промоция и оптимизиране на сайта
За да започнете да се определи, че тази статия не съм по никакъв начин насърчаваме всеки да пробие в Интернет ресурси на някой друг, като се използват методите, описани по-долу.
Основната цел на статията - да покаже на потребителя важността на темата за защита на личните данни и на интернет като пример, не е защитено правилно. Както ще се използва метод за атака на сайта, може би, най-разпространеният метод за хакване сайт - SQL-инжекция.
За да започнете да се определят от факта, че всички съвременни триизмерни, сложни сайтове са базирани на бази данни. Работа с данни, съхранявани в базата данни на сайта си, извършена от команден език SQL структурната.
SQL-инжекция - въведение техника до изходния код от SQL-заявка (самата заявка не противоречи на структурата), за да получат достъп до данните, съдържащи се в базата данни.
По този начин, при определени условия, свързани, като правило, с липсата на функциите на код и за заявките на сайта, за да защити данните, атакуващият може чрез SQL инжекция, прочетете съдържанието на всички таблици и премахване, промяна или добавяне на данни, за да може да се чете и / или напишете локални файлове и изпълни произволен команди на сървъра приемник. Ние няма да се спирам върху теорията и да се премести към действие.
Така че, на първо място да се запознаят с концепцията за това как да прехвърляте данни, използвайки метода на GET. Забелязали ли сте, в моите безкрайни страници в Интернет, която свързва, чрез която можете често пътуват вземе тип форма:
www.hhhhhh.ru / index.php? нещо = нещо toesche_chto нещо = esche_chemu нещо,
където в къщата на моя условно "нещо" и "нещо" са всички възможни стойности.
Така че, знаете, че адреса Не, търси по този начин, да съдържа определена информация, а именно за марката въпрос трябва да е променлива (името), и след неговата значимост =. марка разделя променливи от един на друг.
И всичко това направи точно към страница, за която кандидатствате, може да варира в зависимост от тези променливи, това е, техните стойности се предават по този начин GET метод в кода на страницата си сайт, където се обработват тези ценности, и въз основа на получените резултати и обрати нашата уеб страница.
Така че нека да започнем. Имаме сайт, който се основава на параметъра номер предава на метода GET отнема някои данни от базата данни и форми на тяхната база на нашата страница. Това е кодът на SQL-заявка, който обработва данните ни от URL-а:
$ Result3 = mysql_query ( "SELECT * FROM raspisanie КЪДЕ котка = $ номер").
Ако преведен на български език, по искане извлича всички данни от raspisanie на база данни, в която котка кутия = $ идентификатор. Всъщност, всичко, което искане е за нашата променлива $ идентификатор, който се минава от URL-и ние вече не важно, и аз ще обясня защо по-късно. Сега нека да се справят с много URL-ти. Нека първоначално изглежда така:
Това означава, че ние минаваме този параметър URL-заявка номер = 3, и страницата се генерира на базата на този параметър, а след това се поставя в нашия SQL-заявка и се оказва, че базата данни извлича всички данни от raspisanie маса, където котка кутия = $ J = 3. И сега за най-забавната част. Да предположим, че ние знаем, че на базата на данни за сайта, нападнали съхраняват в потребителите на настолни име и парола от района на администратора на сайта - в име и парола полета съответно. И след това, просто да променим URL, както следва:
www.hhhhhh.ru / index.php? ID = 3 + съюз + изберете + 1,2, вход, парола, 5,6,7 + от + потребител / *
- Страница сложи цялото това голямо променлива в нашето изследване, което ще изглежда като
$ Result3 = mysql_query ( "SELECT * FROM raspisanie КЪДЕ котка = 3 съюз изберете 1,2, вход, парола, 5,6,7 от потребителя / *").
И чрез третиране на ново искане, което не нарушава структурата на базата данни таблица, сървърът ще се върне при нас, в допълнение към обичайната информация, съответстващи на идентификатора на стойност = 3, а дори и потребителско име и парола от сайта!
За да бъде абсолютно ясно, че ще преведат новия ни "магия поискване":
"Избор на данни от таблица raspisanie където котка = 3 нива, и да направи ново искане: да извлече, освен данни, потребителско име и парола стойности от потребители на маса».
Числата 1, 2, и т.н. са произволни и се използват, за да запазите структурата на заявка, а броят на такива стойности се определя от избора - толкова дълго, тъй като броят на такива стойности няма да е равен на броя на стойности, които се извличат от базата данни по подразбиране.
Имената на масата за потребителите и стойностите на полетата за потребителско име и парола също се определят от избора, защото виждате, навсякъде те имат подобни имена. И накрая, героите в края на нашия URL-а "/ *" са използвани, за да се откажа от опашката на първоначалното искане, ако има такива, че той не нарушава структурата на вградена заявка.
Така че ние сме ясно по примера на успешното изпълнение на SQL-инжекция, се запознах с един от възможните начини за хакване на сайта.
Не пренебрегвайте защита на информацията в сайта си и спи добре!