Back

dasturiy vositalar xavfsizligi

DOCX 17 pages 4.4 MB Free download

Page preview (5 pages)

Scroll down 👇
1 / 17
o‘zbekiston respublikasi raqamli texnologiyalar vazirligi muhammad al-xorazmiy nomidagi tоshkеnt aхbоrоt tехnоlоgiyalari univеrsitеti dasturiy vositalar xavfsizligi mavzu: metasploitable virtual muhitida sql ineksiya tahdidini amalga oshirish. 3 – amaliy ish bajardi: abdullayev r. tekshirdi: jabbarov n. toshkent-2024 mavzu: metasploitable virtual muhitida sql ineksiya tahdidini amalga oshirish ishdan maqsad: ma’lumotlar ba’zalariga bo‘ladigan sql – ineksiya tahdidi haqidagi nazariy va amaliy bilim ko‘nikmalarni shakllantirish nazariy qism sql ineksiya tahdidi ma’lumotlar bazasiga tegishli bo‘lgan tahdid bo‘lib, sql so‘rovlarga taqiqlangan belgilarni kiritish va buning natijasida ma’lumotlar bazasida boshqa natija olishga qaratilgan. bu tahdid turi eng ko‘p uchraydigan tahdid turi bo‘lib, uning hajmi yildan – yilga ortib bormoqda. sodda misol. bu tahdidni tushunish uchun quyidagi sodda hayotiy misolni keltiraylik. “alining otasi onasiga aliga 100$ pul berish kerakligini yozib maktub qoldirdi.” bu gapni sql so‘rovi shaklida ifodalansa quyidagicha bo‘ladi: “cho‘ntagimdan 100$ ol va hammasini ber aliga”. qoldirilgan maktubni alining akasi vali ko‘rib qoldi. vali bo‘lg‘usi xaker bo‘lganligi uchun, …
2 / 17
ct komandasidan tashqari buyruqlar (insert yoki delete) foydalanilgan holda va http so‘rovlarini tekshirish jarayonida nuqtali vergul (;) bilan almashtirish sodir bo‘lganda yuzaga keladi. boolean-based blind sql injection. ushbu turdagi ineksiya “ko‘r” ineksiya deb atalib, ma’lumotlar bazasidan zaiflik yaqqol ko‘rinmagan holda foydalaniladi. bunda sintaktik to‘g‘ri bo‘lgan so‘rovlarni kiritish orqali qaytarilgan mantiqiy javobga asoslanib natija aniqlanadi. time-based blind sql injection. bu to‘liq “ko‘r” ineksiya bo‘lib, unda so‘rovda quyi so‘rov kiritiladi va bu so‘rov ma’lumotlar ba’zasini boshqarish tizimining ishini bir muncha to‘xtatib turadi (sleep() yoki benchmark()). bu tahdid asosan taqiqlangan belgilarni tekshirmaslik natijasida kelib chiqadi. quyida ushbu zaiflikni o‘z ichiga olgan sql so‘rovi keltirilgan: statement = "select * from users where name = '" + username + "';" bu so‘rovga asosan aynan kerakli foydalanuvchi nomi ma’lumotlar bazasidan qidirilmoqda. agar bu so‘rov buzg‘unchi tomonidan username o‘rniga ' or '1'='1 kiritilsa, quyidigi so‘rov hosil bo‘ladi: select * from users where name = '' or '1'='1'; …
3 / 17
ik turlari bo’yicha testlash bo’linmalari. biz bundan injection bo’limini tanlaymiz va sql injection bo’yicha topshiriqlarni bajarishimiz mumkin. sqli –bypass authentification bo’limi bo’yicha – login bo’limiga kiramiz va sql injection zaifligi bo’yicha testlashni amalga oshiramiz. bizda login oynasi ochildi va uni zaiflikga tekshirishni amalga oshiramiz: bunda biz quyidagicha commanda larni ' or ''-' larni yozishimiz mumkin. bu commandalarni ro’yxatini google orqali yuklab olamiz. buni quyidagi link orqali yuklab olish mumkin: https://github.com/xmendez/wfuzz/blob/master/wordlist/injections/sql.txt bu holatda biz commandalarni birma-bir yozib chiqishimiz vaqt nuqtai nazaridan muammo bo’lishi mumkin. biz buni avtomatlashgan holatda ya’ni kerakli ro’yxatni biz zaiflikga sinamoqchi bo’lgan login oynamizga ko’rsatib qo’yishimiz mumkin buning uchun bizga burp suite dasturi kerak bo’ladi: sql injection zaifligini testlash dasturi dasturni quyidagi link orqali yuklab olishimiz mumkin: https://portswigger.net/burp/communitydownload yuklab olingan dasturni o’rnatamiz va ishga tushiramiz bu dasturning vazifasi bizning kompyuterimizdan ketayotgan so’rovni ushlab olish va so’rovga qo’shimcha ishlov bergan holda web serverga jo’natishdan iborat. biz bu so’rovni ushlab …
4 / 17
y qismiga kursorni olib borib sichqonchaning o’ng tomonini bo’samiz: biz bundan send to intruder bo’limini tanlaymiz va so’rovni intruder bo’limiga o’tkazamiz. intruder bo’limiga o’tamiz bu qismda biz qaysi inputlarga list dagi sql injection so’rovlarni biriktirib qo’yishimizni tanlaymiz buning uchun masalan username=login dan login yozuvini belgilaymiz va dasturning o’ng tarafidagi add tugmasini bosamiz. biz password uchun ham shu ishni qilamiz. keyingi bosqichda biz hujum turini tanlaymiz ya’ni bizning sql injection ro’yxatimiz qanday tartibda login va password inputlariga biriktirilishi tanlaymiz. biz tanlagan attack type ga qarab yuboriladigan so’rovlar soni o’zgaradi. men pitchfork attack type ni tanlaymiz va payloads bo’limiga o’tamiz. bu qismda payload set bo’limi biz tanlagan login va passwordga mos list biriktirish uchun masalan payload set 1da turgan bo’lsa biz login inputi uchun ro’yxat biriktirayotganimizni bildiradi. payload settings bo’limi orqali biz yuklab olgan sql injection wordlist ni qayerda turganini ko’rsatamiz. load tugmasi orqali bu oyna ochiladi. biz login uchun wordlistni ko’rsatdik …
5 / 17
age22.png image23.png image24.png image25.png image1.png image2.png image3.png image4.png image5.png image6.png

Want to read more?

Download all 17 pages for free via Telegram.

Download full file

About "dasturiy vositalar xavfsizligi"

o‘zbekiston respublikasi raqamli texnologiyalar vazirligi muhammad al-xorazmiy nomidagi tоshkеnt aхbоrоt tехnоlоgiyalari univеrsitеti dasturiy vositalar xavfsizligi mavzu: metasploitable virtual muhitida sql ineksiya tahdidini amalga oshirish. 3 – amaliy ish bajardi: abdullayev r. tekshirdi: jabbarov n. toshkent-2024 mavzu: metasploitable virtual muhitida sql ineksiya tahdidini amalga oshirish ishdan maqsad: ma’lumotlar ba’zalariga bo‘ladigan sql – ineksiya tahdidi haqidagi nazariy va amaliy bilim ko‘nikmalarni shakllantirish nazariy qism sql ineksiya tahdidi ma’lumotlar bazasiga tegishli bo‘lgan tahdid bo‘lib, sql so‘rovlarga taqiqlangan belgilarni kiritish va buning natijasida ma’lumotlar bazasida boshqa natija olishga qaratilgan. bu tahdid turi eng ko‘p uchraydigan tahdid turi bo‘lib, u...

This file contains 17 pages in DOCX format (4.4 MB). To download "dasturiy vositalar xavfsizligi", click the Telegram button on the left.

Tags: dasturiy vositalar xavfsizligi DOCX 17 pages Free download Telegram

Similar files

You might also like these

Show all
burp suite — DOCX DOCX
burp suite
23 pages 5.4 MB
web ilovalarining zaifliklarini aniqlash usul va vositalar tahlili — PPTX PPTX
web ilovalarining zaifliklarini aniqlash usul va vositalar tahlili
15 pages 5.6 MB
mini loyixa - crud tizimi yaratish — DOCX DOCX
mini loyixa - crud tizimi yaratish
22 pages 68.2 KB
sql ineksiya tahdidi va undan himoyalanish usullari. — PPTX PPTX
sql ineksiya tahdidi va undan himoyalanish usullari.
11 pages 954.2 KB
kiberxavfsizlikka oid dasturlar yaratish va foydalanuvchi ma’lumotlarini himoyalash. — DOCX DOCX
kiberxavfsizlikka oid dasturlar yaratish va foydalanuvchi ma’lumotlarini himoyalash.
34 pages 275.8 KB
sql tiliga kirish — PDF PDF
sql tiliga kirish
54 pages 1.7 MB
ma’lumotlar bazalarining xavfsizligi: sql injection hujumlariga qarshi chora — DOCX DOCX
ma’lumotlar bazalarining xavfsizligi: sql injection hujumlariga qarshi chora
17 pages 30.1 KB
uslubiy qo'llanma "ma’lumotlar bazalari va banklari haqida tushunchalar" — PDF PDF
uslubiy qo'llanma "ma’lumotlar bazalari va banklari haqida tushunchalar"
38 pages 2.2 MB
dasturiy vositalarda zaifliklar tasnifi — PDF PDF
dasturiy vositalarda zaifliklar tasnifi
33 pages 723.0 KB
elektron ta’lim tizimlari — DOCX DOCX
elektron ta’lim tizimlari
44 pages 1.2 MB
DOCX
kompyuterda virusga qarshi himoya tizimi
FaylHub.uz
DOCX
kompyuterda virusga qarshi himoya tizimi
23 pages 2.1 MB
topshiriq — DOCX DOCX
topshiriq
23 pages 41.0 MB