Hacking&Security Workshop

ตอนนี้ MaYaSeVeN ได้ย้าย Blog ไปที่ http://blog.mayaseven.com


Friday, April 1, 2011

How To SQL Injection With Tools [Hack Web Application]


หลังจากที่ผมได้เขียนเรื่องบทความ hack SQL injection ด้วยมือไป ครั้งนี้ผมกลับมาอีกครั้งพร้อมกับ tools ที่จะทำให้ชีวิตคุณง่ายขึ้น โดย tools ตัวนี้มีนามว่า kerinci เป็น tools สารพัดประโยชน์พอตัวสิ่งที่มันทำได้

1.หาช่องโหว่ SQLi,LFI/RFI.XSS
2.SQL injection
3.แถม Browser ด้วย =="
4.scan หาหน้า admin
5.แกะ hash ก็ได้ด้วย
6. อื่นๆ

ส่วนวิธีใช้นั้นง่ายมากเป็น GUI คลิกๆๆก็เสร็จดูรูปผมเอาก็ได้ครับ ถ้ามีปัญหาก็ reply ถามได้



รูป :














ปล.สามารถเซฟรูปไปดูบนเครื่องเพื่อดูขนาดใหญ่


Tools:

Download kerinci-0.7.zip


นี้คือเอาไฟล์นี้ไป scan ที่ virustotal วันนี้
VirusTotal - Free Online Virus, Malware and URL Scanner

วิธีป้องกัน SQLi ที่สำคัญคือเราต้องตรวจสอบ input ที่ระบบรับเข้ามาแล้วทำการ filter ส่วนที่เป็น SQL injection statement  ออกไป เช่น union,' เป็นต้น หรืออาจจะใช้ function ช่วยในการ filter เช่น addslashes, mysql_real_escape
#เขียนโดย MaYaSeVeN http://mayaseven.blogspot.com
#อนุญาติให้ Copy ไปโพสที่ไหนก็ได้แต่ต้องแนบเครดิตด้วยนะครับ

References
1.kerinci.net