SQL Injection是攻擊者控制資料驅動的Web Application和Web最常見和最具破壞性
的攻擊。利用website或application software中的code injection技術。
SQL injection攻擊使用一系列惡意的SQL(結構化查詢語言)查詢或語句來直接操作
任何類型的SQL資料庫。
應用程式通常使用SQL statements來驗證使用者,驗證角色和存取層級,儲存,以獲取
應用程式和使用者的訊息及連接到其他data sources。
當攻擊者使用SQL injection等策略來破壞Web applications及sites時,
目標組織可能會在金錢,聲譽以及數據和功能面蒙受巨大損失。
做LAB時我們是用www.moviescope.com 來練習,設定時一直卡關,後來是參考以下YT影片
才搞定
另外若是要用http://www.goodshopping.com/ 練習,可以看以下YT影片把環境建立起
接下來我們就可以開始快樂做Lab啦
使用Windows 10登入http://www.goodshopping.com網站
在Username欄位輸入blah' or 1=1 -- ,密碼欄位保持空白,按下Log in按鍵,如下圖
接下來我們在GoodShopping網站輸入以下資訊
就會運用語法的邏輯錯誤建立起資料庫mydatabase