SQL Injection - Umgehen der Anmeldung: Unterschied zwischen den Versionen
Zur Navigation springen
Zur Suche springen
Zeile 6: | Zeile 6: | ||
*Test der Anmeldeseite auf Möglichkeiten der Informationsgewinnung. | *Test der Anmeldeseite auf Möglichkeiten der Informationsgewinnung. | ||
*Test der Anmeldeseite auf Möglichkeiten der Manipulation. | *Test der Anmeldeseite auf Möglichkeiten der Manipulation. | ||
− | |||
=Aufruf der Anmeldemaske= | =Aufruf der Anmeldemaske= |
Version vom 15. Juni 2021, 07:45 Uhr
Voraussetzung
- Security level: 0
Ziel
- Oft sind Anmeldungen datenbankbasiert.
- Test der Anmeldeseite auf Möglichkeiten der Informationsgewinnung.
- Test der Anmeldeseite auf Möglichkeiten der Manipulation.
Aufruf der Anmeldemaske
- OWASP 2017 -> A1 Injection (SQL) -> SQLi Bypass Authentication -> Login
Informationen sammeln - Versuch einen Fehler zu generieren
- Eingabe eines einzelnen Anführungszeichens in Eingabefeld Username.
- Ein einzelnes Anführungszeichen ist bei Datenbanken ein spezielles Zeichen.
- Eingabe im Namensfeld:
' or 1=1-- -
- Nach Anklicken des Buttons Login ist man als Benutzer admin angemeldet.