How Hackers Exploit SQL Injections And Use SQLmap [REUPLOAD]

Infosec Mastery - Ethical Hacking for Beginners
3 Oct 202409:29

Summary

TLDRفي هذا الفيديو، يتم شرح تقنية حقن SQL، وهي واحدة من أخطر تقنيات القرصنة التي يمكن أن تؤدي إلى تسريب البيانات الحساسة مثل كلمات المرور والمعلومات المالية. يتم توضيح كيفية استغلال الثغرات في قواعد البيانات عبر حقن نصوص ضارة للتلاعب بالاستعلامات البرمجية، مما يتيح للمهاجمين الوصول إلى بيانات المستخدمين أو تجاوز أنظمة المصادقة. كما يتم استخدام أداة SQLmap لتبسيط وتسريع عملية الاستغلال، حيث يتم استخراج البيانات المخزنة واختراق كلمات المرور، مما يتيح الوصول إلى النظام المستهدف بشكل غير مصرح به.

Takeaways

  • 😀 حقن SQL هي إحدى أقدم وأكثر تقنيات الهجوم خطورة على مواقع الإنترنت.
  • 😀 يستخدم الهاكرون أداة SQLMap لاختراق قواعد البيانات وسرقة البيانات لبيعها على الإنترنت المظلم.
  • 😀 لفهم الهجوم، يجب أن نبدأ بفهم كيفية تواصل المستخدمين مع الخوادم وقواعد البيانات.
  • 😀 قواعد البيانات، مثل MySQL، تعتبر هدفًا رئيسيًا للهاكرين لأنها تخزن معلومات حساسة مثل بيانات المستخدمين وكلمات السر.
  • 😀 هجوم حقن SQL يحدث عندما يقوم الهاكر بحقن بيانات خبيثة في استعلام SQL للتمكن من استخراج معلومات غير مصرح بها.
  • 😀 عند محاولة تسجيل الدخول، يقوم المستخدم بإرسال اسم المستخدم وكلمة المرور إلى الخادم الذي يتواصل مع قاعدة البيانات للتحقق من صحة البيانات.
  • 😀 يمكن للهاكر تعديل الاستعلام SQL باستخدام بيانات خبيثة مثل ' OR 1=1 للعبث بمنطق الاستعلام وتخطي عملية التحقق.
  • 😀 يمكن للهاكر إدخال قيم غير صحيحة، مثل الفاصلة المفردة أو ' OR 1=1، لإرباك الخادم والوصول إلى النظام بشكل غير قانوني.
  • 😀 أداة SQLMap تسهل عملية استغلال الثغرات في SQL، حيث تقوم باكتشاف نقاط الضعف وتفريغ البيانات من قاعدة البيانات تلقائيًا.
  • 😀 بعد اكتشاف الثغرة، يستخدم الهاكرون SQLMap لاستخراج أسماء قواعد البيانات والجداول ثم الوصول إلى البيانات الحساسة مثل كلمات السر المشفرة.

Q & A

  • ما هو SQL Injection وكيف يتم استخدامه من قبل المخترقين؟

    -SQL Injection هو هجوم يستغل الثغرات في تطبيقات الويب التي تستخدم قواعد البيانات SQL. يستخدم المخترقون هذه الثغرة لإدخال أوامر SQL ضارة عبر الحقول في واجهات المستخدم مثل حقول البحث أو تسجيل الدخول، مما يسمح لهم بسرقة البيانات أو التحكم في قاعدة البيانات.

  • ما هي الأدوات المستخدمة لاختبار SQL Injection؟

    -من الأدوات الشائعة لاختبار SQL Injection هي أداة SQLmap. وهي أداة مفتوحة المصدر تساعد المخترقين في اختبار الثغرات SQL في تطبيقات الويب من خلال تحليل وتعديل الاستعلامات SQL تلقائيًا.

  • ما هو الهدف الرئيسي للمخترقين من استخدام SQL Injection؟

    -الهدف الرئيسي للمخترقين هو الوصول إلى قاعدة البيانات واستخراج معلومات حساسة مثل بيانات المستخدمين وكلمات المرور، أو حتى التلاعب بالبيانات واستغلالها في الهجمات اللاحقة.

  • كيف يتم التلاعب باستعلام SQL لاختراق قاعدة البيانات؟

    -يتم التلاعب باستعلام SQL من خلال إدخال تعليمات ضارة مثل ' OR 1=1 -- في الحقول المخصصة لإدخال البيانات، مما يؤدي إلى تغيير المنطق في استعلام SQL ليصبح صحيحًا دائمًا ويسمح للمخترق بتجاوز إجراءات التحقق مثل تسجيل الدخول.

  • كيف يمكن التأكد من أن التطبيق عرضة لهجوم SQL Injection؟

    -يمكن التأكد من وجود ثغرة SQL Injection عن طريق إدخال علامة الاقتباس المفردة (') في الحقول المدخلة. إذا ظهر خطأ في التطبيق يشير إلى وجود مشكلة في بناء استعلام SQL، فهذا يعني أن التطبيق عرضة للهجوم.

  • ما هي الخطوات التي يقوم بها SQLmap لاختبار الثغرات؟

    -أداة SQLmap تبدأ بتحليل عنوان URL المشتبه فيه وتحديد ما إذا كانت المعاملات مثل معرّف المستخدم عرضة للهجوم. بعد ذلك، يمكن للمستخدم تحديد نوع قاعدة البيانات والتأكد من وجود ثغرات، ثم استهداف استرجاع قواعد البيانات أو جداولها أو حتى البيانات المخزنة.

  • كيف يتم استخدام SQLmap لاستخراج قواعد البيانات والجداول؟

    -بعد تحديد الثغرة، يقوم المستخدم بإعطاء SQLmap أوامر لاستخراج قائمة قواعد البيانات باستخدام الخيار '--dbs'. بعد ذلك، يمكن استخراج الجداول باستخدام خيار '--tables'، وأخيرًا استخراج البيانات باستخدام خيار '--dump'.

  • كيف يمكن للمخترقين فك تشفير كلمات المرور المخزنة في قاعدة البيانات؟

    -عندما يحتوي جدول المستخدمين على عمود لكلمات المرور المشفرة، يمكن لـ SQLmap محاولة فك تشفير هذه الكلمات باستخدام قائمة كلمات المرور الافتراضية أو تقنيات أخرى لسرقة البيانات أو استغلالها.

  • ما هو التأثير المحتمل لاختراق قاعدة بيانات باستخدام SQL Injection؟

    -إذا نجح الهجوم، يمكن للمخترقين سرقة بيانات حساسة مثل أسماء المستخدمين وكلمات المرور، أو تعديل البيانات مثل إضافة أو حذف معلومات. في بعض الحالات، يمكن أن يؤدي الهجوم إلى سرقة بيانات بطاقة الائتمان أو إلحاق ضرر كبير بسمعة الموقع.

  • ما هو الفرق بين SQLmap واختراق SQL Injection يدويًا؟

    -الاختراق اليدوي يتطلب من المخترق إدخال استعلامات SQL يدويا واختبار النتائج بشكل تدريجي، بينما SQLmap هو أداة أتمتة تساعد في تنفيذ الاختراقات بشكل أسرع وأكثر دقة من خلال فحص الثغرات واستخراج البيانات تلقائيًا.

Outlines

plate

This section is available to paid users only. Please upgrade to access this part.

Upgrade Now

Mindmap

plate

This section is available to paid users only. Please upgrade to access this part.

Upgrade Now

Keywords

plate

This section is available to paid users only. Please upgrade to access this part.

Upgrade Now

Highlights

plate

This section is available to paid users only. Please upgrade to access this part.

Upgrade Now

Transcripts

plate

This section is available to paid users only. Please upgrade to access this part.

Upgrade Now

Browse More Related Video

Tree data structures in 2 minutes 🌳

1.7 Manage user roles, data settings, and more in Google Analytics - Analytics Academy on Skillshop

XSS - Cross Site Scripting Explained

Blockefi - BlockChain Based Patient Record MANAGEMENT

Le Fonctionnement d'INTERNET | Processus d'une Requête WEB

Disable Telemetry | Services, Registry, Tasks & Group Policy

Rate This

5.0 / 5 (0 votes)

Summary
Outlines
Mindmap
Keywords
Highlights
Transcripts
Related Tags
SQL Injectionأمن الويبهجمات القراصنةاستغلال الثغراتقواعد البياناتSQLmapهندسة البرمجياتقرصنة الإنترنتحماية المواقعأدوات اختراق
Do you need a summary in English?