SQL Injection - Umgehen der Anmeldung: Unterschied zwischen den Versionen
Zur Navigation springen
Zur Suche springen
| Zeile 10: | Zeile 10: | ||
*OWASP 2017 -> A1 Injection (SQL) -> SQLi Bypass Authentication -> Login | *OWASP 2017 -> A1 Injection (SQL) -> SQLi Bypass Authentication -> Login | ||
| − | = | + | =Versuch einen Fehler zu generieren= |
*Eingabe eines einzelnen Anführungszeichens in Eingabefeld Username. | *Eingabe eines einzelnen Anführungszeichens in Eingabefeld Username. | ||
*Ein einzelnes Anführungszeichen ist bei Datenbanken ein spezielles Zeichen. | *Ein einzelnes Anführungszeichen ist bei Datenbanken ein spezielles Zeichen. | ||
| Zeile 16: | Zeile 16: | ||
[[Datei:Mutillidae-01.png]] | [[Datei:Mutillidae-01.png]] | ||
| − | == | + | =generierter Fehler= |
| − | + | [[Datei:Mutillidae-02.png]] | |
*Eingabe im Namensfeld: | *Eingabe im Namensfeld: | ||
Version vom 15. Juni 2021, 07:48 Uhr
Voraussetzung
- Security level: 0
Ziel
- Oft sind Anmeldungen datenbankbasiert.
- Test der Anmeldeseite auf Möglichkeiten der Informationsgewinnung.
- Test der Anmeldeseite auf Möglichkeiten der Manipulation.
Aufruf der Anmeldemaske
- OWASP 2017 -> A1 Injection (SQL) -> SQLi Bypass Authentication -> Login
Versuch einen Fehler zu generieren
- Eingabe eines einzelnen Anführungszeichens in Eingabefeld Username.
- Ein einzelnes Anführungszeichen ist bei Datenbanken ein spezielles Zeichen.
generierter Fehler
- Eingabe im Namensfeld:
' or 1=1-- -
- Nach Anklicken des Buttons Login ist man als Benutzer admin angemeldet.