SEO Promovarea si optimizarea site-urilor

Pentru a începe să definească că acest articol nu sunt în nici un fel încuraja pe oricine să pătrundă în resurse Internet altcuiva, utilizând metodele descrise mai jos.

Scopul principal al articolului - pentru a arăta utilizatorului importanța temei protecției datelor de pe site-ul de internet ca un exemplu, nu este protejată în mod corespunzător. Ca o metodă de atac de pe site-ul va fi folosit, probabil, cea mai comuna metoda de hacking site - SQL-injectare.

Pentru a începe să se definească faptul că toate site-urile moderne tridimensionale complexe, sunt bazate pe baze de date. Lucrul cu datele stocate într-o bază de date de pe site-ul dvs., realizat de SQL structurale limbaj de interogare.

SQL-injecție - tehnica de introducere la codul sursă dintr-un SQL-interogare (interogare în sine nu perturba structura), în scopul de a obține acces la datele conținute în baza de date.

Astfel, în anumite condiții, legate, de regulă, cu lipsa de cod și de interogare funcțiile site-ului pentru a proteja datele, un atacator poate prin SQL-injecție, citiți conținutul tuturor tabelelor și a elimina, modifica sau adăuga date pentru a putea citi și / sau scrie fișiere locale și executa comenzi arbitrare de pe serverul destinație. Nu vom insista asupra teoriei și a trece la acțiune.

Deci, mai întâi se familiarizeze cu conceptul de modul de transfer de date prin metoda GET. Ați observat, în paginile mele infinite ale internetului, care face legătura prin care vă deplasați de multe ori iau tipul de forma:

www.hhhhhh.ru / index.php? ceva = ceva toesche_chto ceva = esche_chemu ceva,

în cazul în care casa mea „ceva“ condiționată și „ceva“ sunt toate valorile posibile.

Deci, știu că URL-ul nu, cautati acest fel, să conțină anumite informații, și anume pentru semnul de întrebare ar trebui să variabila primul (numele), și apoi semnificația sa =. marca separă variabile față de celălalt.

Și totul face doar la o pagină la care se aplica, poate varia în funcție de aceste variabile, adică, valorile lor sunt trecute prin aceasta metoda GET în site-ul codul paginii, în cazul în care sunt prelucrate aceste valori, precum și pe baza rezultatelor obținute și se transformă pagina noastra web.

Deci, să începem. Avem un site care se bazează pe parametrul id trecut la metoda GET ia unele date din baza de date și formularele pe baza lor pagina noastră. Aici este codul de SQL-interogare care se ocupă de datele noastre de la URL-o:

$ Result3 = mysql_query ( 'SELECT * FROM WHERE raspisanie cat = $ id').

Dacă traduse în limba română, interogarea preia toate datele din raspisanie bază de date, în cazul în care pisica caseta = $ id. De fapt, toate că cererea este de $ id-ul nostru variabilă, care se trece de la URL-și noi nu mai importante, și voi explica de ce mai târziu. Acum, să se ocupe de foarte URL-lea. Să-l inițial arată astfel:

Asta este, vom trece acest parametru URL-interogare id = 3, iar pagina este generată pe baza acestui parametru, atunci acesta este plasat în nostru SQL-interogare și se dovedește că baza de date preia toate datele din tabelul raspisanie în cazul în care caseta de pisica = $ id = 3. Și acum pentru partea distractivă. Să presupunem că știm că baza datelor site-ului atacat stocate în utilizatorii de masă de conectare și parola din zona de site-ul de administrator - în câmpurile de conectare și parolă, respectiv. Și apoi, schimbând doar URL-ul nostru, după cum urmează:

www.hhhhhh.ru / index.php? id = 3 + union + selectați + 1,2, datele de conectare, parola, 5,6,7 + de la + utilizator / *

- Pagina a pus toate această variabilă mare în cercetarea noastră, care va arăta

$ Result3 = mysql_query ( 'SELECT * FROM WHERE raspisanie cat = 3 uniune selectați 1,2, datele de conectare, parola, 5,6,7 de la utilizator / *').

Și, prin tratarea unei noi cereri, care nu încalcă structura tabelei bazei de date, serverul va reveni la noi, în plus față de informațiile obișnuite, care corespunde valorii id = 3, și chiar de utilizator și parola de pe site-ul!

Pentru a fi absolut clar, voi traduce noul nostru „cerere magic“:

„Selectați datele din tabelul raspisanie în cazul în care pisica = 3 câmp, și să facă o altă cerere: derivă, în afară de date, valorile de conectare și parolă de la utilizatorii de masă».

Numerele 1, 2, etc. sunt arbitrare și sunt folosite pentru a salva structura de interogare, iar numărul acestor valori este determinat de selecție - atâta timp cât numărul de astfel de valori nu va fi egal cu numărul de valori care sunt derivate din baza de date implicită.

Numele tabelului și valorile câmpurilor de conectare și parola utilizatorii sunt, de asemenea, determinate de selecție, pentru că vedeți, peste tot ei au nume similare. Și, în sfârșit, personajele la sfârșitul adreselor URL-un „/ *“ sunt folosite pentru a picătură coada cererii inițiale, dacă este prezent, că el nu a încălcat structura unei interogare încorporat.

Deci, suntem în mod clar pe exemplul implementării cu succes a SQL-injectare, au făcut cunoștință cu una dintre posibilele modalități de hacking site-ului.

Nu neglijați protecția informațiilor site-ul dvs. și dormi bine!