7/25/2014

What is SQL Injection?


http://www.unixwiz.net/images/sqlinjection.jpg


က်ေနာ္ SQL Injection နဲ ့ပတ္သတ္တဲ့ tutorials ေတြအမ်ားၾကီးတင္ခဲ့ျပီးပါျပီ ။
သို ့ေသာ္က်ေနာ္ ေမ့ေနတာေလးတစ္ခုအခုမွသြားသတိရတယ္ စာဖတ္သူတို ့ေရ ။

SQL Injection ဆိုတာဘာလဲဆိုတာကိုက်ေနာ္တခါမွမရွင္းျပခဲ့ပါဘူး ။
အခုေတာ့ က်ေနာ္ Beginner ေတြကို သိေစခ်င္တာေၾကာင့္ေရးသားလိုက္ရပါေတာ့သည္။

What is SQL Injection?

SQL Injection ဆိုတာဟာ SQL Database ေတြကို SQL Query ေတြသံုးျပီးထိုးေဖာက္တယ္လုိ ့ေျပာရပါလိမ့္မယ္ ။
SQL ရဲ ့အရွည္ေကာက္ကေတာ့ Structured Query Language လို ့ေခၚပါတယ္ ။ ျမန္မာလို ဆိုရင္ Query ေတြနဲ ့တည္ေဆာက္ထားတဲ ့Language တစ္ခုေပါ့ ။
ဘာေၾကာင့္ SQL Injection Vulnerable ျဖစ္ရတာလဲဆိုရင္ေတာ့ develpoer ေတြရဲ  ့ညံဖ်င္းမွဳလို ့ဆိုရမွာဘဲ ။ ေနာက္တစ္ခုက Language ရဲ ့အားနည္းခ်က္လည္းျဖစ္ပါေသးတယ္ ။

SQL Injector ေတြေတာ္ေတ္ာမ်ားမ်ားေျပာၾကပါတယ္ ။ Error ကေနသင္ယူပါဆိုတာေလ ။ ဟုတ္ပါတယ္
SQL ဟာ Error ေတြမွာအေျဖကိုေတာ္ေတ္ာမ်ားမ်ား ေဖာ္ျပၾကပါတယ္ ။ ဒီေတာ့က်ေနာ္တို ့အတြက္စဥ္းစားလို ့ရတာေပါ့ ။
ဥပမာအေနနဲ ့တစ္ခုေျပာျပမယ္ညီကိုတို ့။ က်ေနာ္တို ့အရင္က ဖုန္းေတြမွာ ဖုန္း၀င္သြားရင္ တီ .... ဆိုျပီးအၾကာၾကီးျမည္ေနတယ္ မလား ။
တကယ္လို ့မ၀င္ရယ္ တူ တူ တူ နဲ ့ေပါ့ ။ ဒါေပမယ့္အခုေခာတ္ဖုန္းေတြမွာက်ေတာ့အဲလိုမဟုတ္ေတာ့ဘူး ။ စက္ပိတ္ထားပါတယ္ရွင္တဲ့ ။
ဒါဆုိစဥ္စားလို ့ရပီ ။ ဒီေကာင္ဘာမဟုတ္တာလုပ္ေနလဲေပါ့ ။ ဆက္သြယ္မွဴဧရိယျပင္ပ ဆိုရင္လည္း ဖုန္းဘက္ထရီဘဲျဖဳတ္ထားတာလား ။
ဘယ္ေတြမ်ားသြားေနလဲ စဥ္းစားျပန္ပါျပီ ။
အဲဒီသေဘာပါဘဲ SQL ဟာ အဲ့ဒီဖုန္းေတြလိုဘဲ အင္မတန္မွလွ်ာရွည့္ပါတယ္ ။ Invalid ဆိုျပီးျပီေပါ့ ။ မဟုတ္ဘူးဗ် ။ဘယ္ေနရာမွားေနပါတယ္တုိ ့ ။
ဒါေတာ့မရွိဘူး ။ ဒါဘဲရွိတယ္တို ့ ။ မွန္သြားရင္လည္း ထုတ္ေဖာ္ျပတတ္ပါတယ္ ။ ကဲဒီေတာ့စဥ္းစားျပီေပါ့ ကြယ္ ။

SQL ဟာ တျခား Web Hacking Method ေတြနဲ ့မတူတဲ့အခ်က္တစ္ခုကိုလည္းပိုင္ဆိုင္ထားပါေသးတယ္ ။
Browser တစ္ခုဘဲလိုတယ္မိတ္ေဆြ ။ သင္ username နဲ ့password ကိုရဖို ့အတြက္ Browser တစ္ခုဘဲလိုတယ္ဆိုေတာ့ ဒီနည္းလမ္းဟာ လူသံုးအမ်ားဆံုးနဲ ့
အေကာင္းဆံုးနည္းလမ္းတစ္ခုလည္းျဖစ္လာေတာ့တာေပါ့ ။ Admin ရဲ့ username နဲ ့ password ကိုရျပီဆုိေတာ့ Admin Pannel ရွာျပီး ၀င္ယံုဘဲေလ ။
Shell တင္ website ကိုသင္လည္းပိုင္သြားျပီေပါ့ ။

 

ေနာက္တစ္ခုက်န္ပါေသးတယ္ ။ ေကာင္းျခင္းေတြေပါ့ေလ ။
CMS နဲ ့လည္းမဆိုင္ဘူး ။ ဘာ CMS ဘဲျဖစ္ျဖစ္ မဆိုင္ပါဘူး ။ Database ကဘာျဖစ္တယ္ဆိုတာသာလိုပါတယ္ ။
MySQL ဆိုရင္ MySQL Injection နဲ ့လုပ္ရမယ္ ။ MSSQL ဆိုရင္ MSSQL Injection ေပါ့ ။ ဒီလိုမ်ိဳးသြားပါတယ္ ။




လက္ရွိ Website ေတ္ာေတ္ာမ်ားမ်ား Deface အုပ္ခံေနရတာဟာလည္း SQL Injection နည္းနဲ ့ခံေနရတာမ်ားပါတယ္ ။
ဒီေတာ့က်ေန္ာတို ့နဲ ့အတူ SQL Injection ကိုေလ့လာလိုက္ရေအာင္ဗ်ာ ။

SQL Injection အေၾကာင္းကိုက်ေနာ့္ blog ရဲ  ့
http://www.midnightcyberstalkers.org/search/label/SQL%20Injection
မွာသြားေရာက္ေလ့လာနိုင္ပါတယ္ ။ SQL Injection နဲ ့ပတ္သတ္ျပီး Challenge ေတြေျဖခ်င္ေသးတယ္ဆိုရင္ေတာ့
http://www.mmsecurity.net/forum/
ကိုသြားပါ ။

Thanks for the reading ,
Regard rEvolt!

Greetz :: 133720 ::Raw-x :: Mad Mike :: ~trojAn* :: G_26 :: Shwe Kayin :: Lout Ta Yu :: Jerry Fate :: Scod3 :: Moe Tain :: Dong0th ::
All Myanmar Hackers and MSF Members
 [Image: Yyww8JT.jpg]





<<< ေအာက္မွာ Click တစ္ခ်က္ေလာက္ႏွိပ္ေပးျခင္းအားျဖင့္ တစ္ဖက္တစ္လမ္းကကူညီရာေရာက္ပါတယ္။ >>>
 







**  Step-1.ေအာက္က Download Button ကိုႏွိပ္လိုက္ပါ

**  Step-2. "5sec". ေလာက္ေစာင္႕ေပးပါ။

**  Step-3. "  << SKIP AD >>   ".ကိုႏွိပ္ေပးပါ။

**  Step-4. Download Link က်လာပါလိမ္႕မယ္။

**  အဆင္ေျပပါေစဗ်ာ။

   Download