حمله sql injection (SQLI) چیست؟ آموزش اتومیشن کردن حملات sql injection با ابزار برپ سوییت. سلام به بهترین ها امیدوارم حالتون عالی باشه 🙂در این مقاله آموزشی قصد داریم تا در رابطه با مباحث وب هکینگ صحبت کنیم و ببینیم که چطور میتونیم حملات معروف sql injection رو با ابزار قدرتمند برپ سوییت (Burp Suite) خودکار سازی کنیم.این روش در تست آسیب پذیری های مختلف روی وبسایت ها خیلی بکارتون میاد و میتونید برای پیاده سازی حملات SQLI ازش استفاده کنید. اما قبل از هر چیزی بزارید یک توضیح کوتاه در را بطه باحملات SQL INJECTION بهتون بدم تا با نحوه کاربرد اون بیشتر آشنا بشید 🙂
Sql injection یکی از معروفترین حملات برای هک و نفوذ به دیتابیس بوده که اغلب خرابکاران از آن برای نفوذ به منابع اطلاعاتی استفاده میکنند. از این نوع تکنیک برای ازکارانداختن و ازبینبردن پایگاهداده استفاده میشود و در هک وب کاربرد دارد. تزریق کدهای SQL به معنای قراردادن کدهای مخرب در SQL بهوسیله صفحات وب است.
SQL injection یکی از رایجترین تکنیک برای هک وب بوده که هکر از طریق یک درگاه ورودی درون سایت، اقدام به تزریق کدهای مخرب به درون دیتابیس متصل به آن میکند. این درگاه میتواند صفحه ثبتنام و فیلدهایی که از کاربر اطلاعات درخواست میکند باشد.
یعنی هکر مانند یک کاربر معمولی وارد سایت شما شده و با ورود به بخش مثلا ثبتنام بهجای نام، نام کاربری، رمز عبور و… کدهای مخربی را وارد میکند. بر اساس برنامهریزی و کدنویسی سایت، تمامی این ورودیهای با فرض بر این که مقادیر صحیحی هستند در درون data base شما قرار گرفته و درنهایت باعث ایجاد اختلال در عملکرد و وقوع فاجعه میشود.
برای درک بهتر این موضوع فرض کنید که مرکز داده یا سایت شما بانکی است که روزانه هزاران نفر به آن مراجعه میکنند. حال یک خرابکار با پوشیدن لباسهای معمولی مانند یک فرد عادی وارد بانک شما شده و با آوردن یک دستگاه باعث ازکارافتادن سیستمهای امنیتی و دوربینها میشود. درب ورودی بانک مانند همان درگاههای ثبتنام سایت بوده و دستگاهی که باعث اختلال در سیستمهای امنیتی میشود همان کدهای مخرب است.