Page 232 - بسم الله الرحمن الرحيم
P. 232
>الكاتب< hish_hish :
أتصجهت غالبية المواقع لستخدا.م صفحات ديناميكيه ومنها ما نحن موجهودين فيه (:
وتصستخد.م قواعد بيانات فيها كم كبير من المعلومات ,
وعن طريق سكربت مكتوب بإحدى لغات الويب الديناميكيه PHPأو ASP
والتي تصعمل جهمبا إلى جهمب مع محركات قواعد البيانات .
SQL Server , MySQL,Oracle
يتم أستخلص المعلومات المطلوبه وتصرك البقيه
حيث تصأختذ معلومات من المستخد.م ومن ثم تصعالج ويستخد.م بعضها في تصكون
أوامر الـ SQLليتم أستخلص البيانات أو التأكد من صحة بعض المدختلت لبناء
الصفحة المطلوبه أو قبول المستخد.م أو رفضه
دائما يتم طلب أسم مستخد.م وكلمة مرور في الصفحات التي تصخولك بعمل عمل ل
يقو.م به إل من قا.م صاحب الموقع بإعطائه الصلحيه للقيا.م بها
كأن يقو.م بحذف موضوعي (:أو تصثبيته في القائمه ((((:
حيث يتم التأكد من وجهود أسم المستخد.م في قاعدة البيانات وأن كلمة المرور المعطاه مطابقه لتلك الموجهوده
بجانب أسم المستخد.م
حيث يتم أختذ معلومه وتصضمينها في أمر الـ SQLالذي يقو.م بالتأكد من وجهودها وصلحيتها
ولكن يجب الحذر عند كتابة سكربت يقو.م بتوثيق المستخد.م للتأكد من أنه مخول له بالدختول للصفحه المحميه
أ.م ل
وذلك بالتأكد من نظافة القيم المستقبله من المستخد.م وختلوها من أي رموز من شأنها أن تصجعل أمر الـ SQL
ختاطئ
في بنائه أو القيا.م بأي أمر غير مسمو ح به
سنتكلم الن عن ما يسمى SQL injection
حيث أنه ضعف في كتابة سكربت التوثيق وأيضا بوجهود موقع للتجربه
وهو موقع شركة التصصالت السعوديه
عنوان الموقع /http://www.stc.com.sa
عند الدختول للصفحة الرئيسيه نجد رابط يختص بمقدمي ختدمة أنترنت في السعوديه
وهو http://www.stc.com.sa/arabic/scripts/ar_frame.asp?pagenum=25
عند دختوله فأنه يطلب منك أسم مستخد.م وكلمة مرور !!!!
دائما في الحاله هذه أول ما يتبادر لنا هو الـ SQL injection
نقو.م بتجربة
أسم مستخد.م ' :
وكلمة مرور ' :
فنحصل على الخطأ التالي
اقتباس:
Microsoft OLE DB Provider for ODBC Drivers error
''80040e14
]Microsoft][ODBC SQL Server Driver][SQL Server]Unclosed
.' '' quotation mark before the character string
arabic/Scripts/ar_csd_reply.asp, line 33/
232
