🖥 SQL инъекции | Ломаем настоящий сайт

В этой статье мы разберем на практике некоторые способы реализации SQL инъекций на примере уязвимого сайта.

Статья предназначена для тех, кто хочет на практике разобраться с тем, что такое SQL инъекции.

Одним из таких уязвимых веб ресурсов является http://testphp.vulnweb.com/. Компания Acunetix, авторы известного сканера, разработали несколько таких сайтов с уязвимостями.

Конечно, это не единственный подобный ресурс, кроме того, также есть площадки Hack The Box, Root-me, Try to hack me и аналогичные на которых можно попрактиковаться во взломе. Однако, testphp.vulnweb.com примечателен тем, что здесь не требуется регистрация и тем более оплата.

⏺ Подробнее см. статью на Habr

#SQL #networks #Acunetix // ❓ cyber in network security

◼️ Проходим виртуальную машину Daily Bugle на TryHackMe

В данном видео проходим машину на TryHackMe:
⏺ Рассмотрим OSINT и эксплойты на Python
⏺ Энумерация, дамп SQL таблиц
⏺ Научимся определять тип хеша и подбирать к нему пароль
⏺ Рассмотрим Reverse Shell, мисконфиги на сервере и повышение привилегий

#TryHackMe #CTF #Networks #OSINT #SQL #Python // ❓ cyber in network security

🖥 Репозиторий: RedTiger — инструмент для взлома и пентеста

RedTiger — это бесплатный мультитул с множеством функций в области кибербезопасности и взлома.

— Данный инструмент позволяет проводить, реализовывать разные атаки, типо SQL-инъекций, извлекать информацию по email и т.д.

⏺ Ссылка на GitHub

#Tools #Redteam #Pentest #SQL

🖥 Репозиторий: NoSQLMap —автоматизированное перечисление базы данных NoSQL

NoSQLMap — это инструмент Python с открытым исходным кодом, для баз данных NoSQL.

— Данный инструмент предназначен для аудита, а также для автоматизации атак инъекций и использования слабых мест конфигурации по умолчанию в базах данных NoSQL и веб-приложениях с использованием NoSQL для раскрытия или клонирования данных из базы данных.

⏺ Ссылка на GitHub

#NoSQL #SQL

💉 Автоматическая инъекция в БД SQL

JSQL Injection – это инструмент на Java для автоматической инъекции в базы данных sql

Основные возможности:
⏺выявлять уязвимости и укреплять безопасность веб-приложений против вредоносных манипуляций с базой данных;
⏺оценивать устойчивость баз данных к потенциальным атакам.

— Инструмент бесплатен, у него открытый исходный код и он является кросс-платформенным (Windows, Linux, Mac OS X, Solaris)

⏺ github.com

#Tools #SQL #Injection // ❓ cyber in network security

🪙 Awesome Bug Bounty Tools.

• Большой список инструментов для Bug Bounty, который разбит по следующим категориям:

• Recon:
- Subdomain Enumeration;
- Port Scanning;
- Screenshots;
- Technologies;
- Content Discovery;
- Links;
- Parameters;
- Fuzzing.

• Exploitation:
- Command Injection;
- CORS Misconfiguration;
- CRLF Injection;
- CSRF Injection;
- Directory Traversal;
- File Inclusion;
- GraphQL Injection;
- Header Injection;
- Insecure Deserialization;
- Insecure Direct Object References;
- Open Redirect;
- Race Condition;
- Request Smuggling;
- Server Side Request Forgery;
- SQL Injection;
- XSS Injection;
- XXE Injection.

• Miscellaneous:
- Passwords;
- Secrets;
- Git;
- Buckets;
- CMS;
- JSON Web Token;
- postMessage;
- Subdomain Takeover;
- Uncategorized.

#BB