Описание модуля:

Системы управления базами данных (СУБД) обеспечивают более быстрое хранение и извлечение данных по сравнению с традиционным файловым хранением. Это делает их идеальным выбором для хранения данных, таких как учетные записи, посты и комментарии, которые используются веб-приложениями. Однако неправильно реализованная SQL-логика может стать серьезной угрозой, приводя к обходу аутентификации, утечке информации, удаленному выполнению кода и даже полной компрометации сервера.

Веб-приложения используют код для создания SQL-запросов для работы с базами данных. Эти запросы могут включать ввод пользователя, который, если не проверен должным образом, может привести к выполнению непредвиденных действий, не задуманных разработчиком.

Цель этого модуля — развить навыки обнаружения и эксплуатации уязвимостей SQL-инъекций, в основном для MySQL-баз данных, а также познакомить с основами других видов SQL-инъекций.

В рамках модуля вы изучите следующие темы:

• Основы баз данных и их разновидности

• Основы SQL и MySQL

• Базовые операторы и запросы в MySQL и их использование

• Что такое SQL-инъекции и как они работают

• Как с помощью SQL-инъекций обойти логику веб-приложения и обойти аутентификацию

• Использование SQL-инъекций UNION для извлечения данных из разных таблиц и баз данных

• Как с помощью SQL-инъекций читать файлы на сервере

• Использование SQL-инъекций для записи веб-оболочки на сервере и получения удаленного контроля

• Методы защиты от SQL-инъекций и исправление кода

Этот модуль даст вам все необходимые знания для защиты своих веб-приложений и предотвращения атак через SQL-инъекции.