SQL Injection - Umgehen der Anmeldung

Aus xinux.net

Version vom 15. Juni 2021, 07:43 Uhr von Tina.messmann (Diskussion | Beiträge) (→‎Informationen sammeln - Versuch einen Fehler zu generieren)

(Unterschied) ← Nächstältere Version | Aktuelle Version (Unterschied) | Nächstjüngere Version → (Unterschied)

Zur Navigation springen Zur Suche springen

Voraussetzung

Security level: 0

Ziel

Oft sind Anmeldungen datenbankbasiert.
Test der Anmeldeseite auf Möglichkeiten der Informationsgewinnung.
Test der Anmeldeseite auf Möglichkeiten der Manipulation.

Aufruf der Anmeldemaske

OWASP 2017 -> A1 Injection (SQL) -> SQLi Bypass Authentication -> Login

Informationen sammeln - Versuch einen Fehler zu generieren

Eingabe eines einzelnen Anführungszeichens in Eingabefeld Username.
Ein einzelnes Anführungszeichen ist bei Datenbanken ein spezielles Zeichen.

Eingabe im Namensfeld:

' or 1=1-- -

Datei:Mutillidae-.png

Nach Anklicken des Buttons Login ist man als Benutzer admin angemeldet.

Abgerufen von „https://xinux.net/index.php?title=SQL_Injection_-_Umgehen_der_Anmeldung&oldid=23950“

Seiten mit defekten Dateilinks