Описание модуля:

Большинство веб-приложений сегодня подключены к базе данных на стороне сервера, которая хранит различные типы данных, необходимых для отображения на веб-странице, от информации о пользователях до контента для интерфейса.

Часто такие веб-приложения неправильно реализуют вызовы к базе данных, что позволяет злоумышленнику манипулировать HTTP-запросами, отправляемыми на сервер, и обманывать базу данных, заставляя её показывать больше данных, чем намеревались разработчики. Этот тип атаки называется SQL-инъекцией (SQLi).

SQLMap — это автоматизированный инструмент, специализирующийся на автоматизации обнаружения и эксплуатации SQL-инъекций, что значительно упрощает задачу пентестерам по обнаружению и использованию уязвимостей SQL-инъекций.

В модуле «Основы SQLMap» вы изучите основы использования SQLMap для обнаружения различных типов уязвимостей SQL-инъекций, а также освоите продвинутые методы перечисления баз данных и извлечения интересующих данных.

В этом модуле мы рассмотрим:

• Обзор и установку SQLMap

• Разные типы атак SQL-инъекций, поддерживаемые SQLMap, и их применение

• Понимание различных выводов SQLMap для правильного направления атак

• Атаку специфических частей веб-приложения с помощью HTTP-запросов

• Работа с различными типами ошибок, с которыми мы можем столкнуться при использовании SQLMap

• Использование различных опций SQLMap для настройки атак под наши специфические нужды

• Перечисление полных баз данных и извлечение содержимого их таблиц, столбцов и строк

• Продвинутое перечисление баз данных для поиска специфических данных

• Поиск имен пользователей и паролей в базах данных и использование SQLMap для их взлома

• Обход различных типов защит, которые могут быть установлены для защиты веб-приложения от SQLMap

• Использование SQLMap для чтения и записи файлов на удаленный сервер

• Использование SQLMap для выполнения команд на удаленном сервере и полного контроля над ним.