SQL Injection презентация

Содержание

Слайд 2

Introduction

What is SQL Injection?
Real World Examples
Important SQL Syntax
Example Website
Prevention

Слайд 3

What is SQL Injection?

Code Injection Technique
Exploits Security Vulnerability
Targets User Input Handlers

Слайд 4

Real World Examples

On August 17, 2009, the United States Justice Department charged an

American citizen Albert Gonzalez and two unnamed Russians with the theft of 130 million credit card numbers using an SQL injection attack.
In 2008 a sweep of attacks began exploiting the SQL injection vulnerabilities of Microsoft's IIS web server and SQL database server. Over 500,000 sites were exploited.

Слайд 5

Important Syntax

COMMENTS: --
Example: SELECT * FROM `table` --selects everything
LOGIC: ‘a’=‘a’
Example: SELECT * FROM

`table` WHERE ‘a’=‘a’
MULTI STATEMENTS: S1; S2
Example: SELECT * FROM `table`; DROP TABLE `table`;

Слайд 6

Example Website

Слайд 8

Example Website

timbo317

cse7330

SELECT * FROM `login` WHERE `user`=‘timbo317’ AND `pass`=‘cse7330’

Слайд 9

Login Database Table

What Could Go Wrong??

Слайд 10

Example Hack

’ OR ‘a’=‘a

’ OR ‘a’=‘a

SELECT * FROM `login` WHERE `user`=‘’ OR ‘a’=‘a’

AND `pass`=‘’ OR ‘a’=‘a’

Слайд 11

It Gets Worse!

’; DROP TABLE `login`; --

SELECT * FROM `login` WHERE `user`=‘’;

DROP TABLE `login`; --’ AND `pass`=‘’

Слайд 12

All Queries are Possible

SELECT * FROM `login` WHERE `user`=‘’; INSERT INTO `login` ('user','pass')

VALUES ('haxor','whatever');--’ AND `pass`=‘’

SELECT * FROM `login` WHERE `user`=‘’; UPDATE `login` SET `pass`=‘pass123’ WHERE `user`=‘timbo317’;--’ AND `pass`=‘’

Слайд 13

Live Demonstration

http://www.timmothyboyd.com/cse7330

How Can You Prevent This??

Слайд 14

Prevention

Logic to allow only numbers / letters in username and password.
How should you

enforce the constraint? SERVER SIDE.
‘ESCAPE’ bad characters. ’ becomes \’
READ ONLY database access.
Remember this is NOT just for login areas! NOT just for websites!!
Имя файла: SQL-Injection.pptx
Количество просмотров: 64
Количество скачиваний: 0
- Предыдущая
Тренинг для педагогов Здоровый педагог - здоровый ребёнок
Следующая -
Оценка жизненного цикла. Введение в оценку жизненного цикла – основы методы и принципы

Похожие презентации

What is Samhain?
Анализ аудитории. Метод аватаров
Базы данных. Информационные системы
Инструкция по регистрации участников соревнования VISTA 2017-2018
Указатели. Лекция 5. Виды оперативной памяти
Запуск Any Connect
Алгоритмы управления
Информационные технологии в профессиях
Night Ghosts TEAM. Тактики и стратегии
Безопасный Интернет
Настройка пользовательского интерфейса Microsoft Word. Лекция 7
Учимся создавать электронное портфолио
Создание коллажа в программе Photoshop
Подпрограммы. Тема 2.2
Топология и архитектура сети
Коллекции в С#
Азы программирования на языке LabView. Первая модель робота LegoWeDo
Этика сетевого общения
Кодирование графической информации
Применение методов машинного обучения в обработке больших данных
Информатика 10 класс Кодирование графической информации
Формат графического файла
МЗЯ1_2024 от 14.02.2024
Deploying and Maintaining the Duke's Choice Application
Компьютерная графика. Векторная и растровая графика
Профессия программист
Задачи, решаемые серверным оборудованием. Их назначение и роль в современных IT технологиях
Безопасность информационных систем в современном мире
Обратная связь
Email: Нажмите что бы посмотреть