Просунутий SQL Injection в Joomla
22:43 03.10.2009Продовжуючи розпочату традицію, після попереднього відео про експлуатацію уразливостей в ПЗ, пропоную новий відео секюріті мануал. Цього разу відео про просунутий SQL Injection в Joomla. Рекомендую подивитися всім хто цікавиться цією темою.
Advanced Mysql Injection in Joomla
В даному відео ролику наочно демонструється проведення SQL Injection атаки на движок Joomla, зокрема для зчитування локальних файлів на сайті. Рекомендую подивитися дане відео для розуміння векторів атаки за допомогою SQL ін’єкцій та небезпеки подібних уразливостей.
Понеділок, 23:25 05.10.2009
Мда) Це секюріті блог чи жовта преса? Можливо варто вказати в заголовку що скуля не в джумлі, а в компоненті. тим більше відео абсолютно зайве. Перехекер вчить нас як юзати лоад_файл?
Субота, 21:59 17.10.2009
Dimi4, спасибі за порівняння с жовтою пресою. Перед тим як вішати на мій сайт подібні ярлики, ти задай собі запитання, які сайти ти читаєш і з якими сайтами ти обмінуєшся лінками. Наприклад я не читаю жовту пресу і не обмінююся лінками з подібними сайтами
.
Стосовно назви, то я її зробив базуючись на оригінальній назві відео-ролика (я так завжди роблю). І те, що автор назвав це SQLi в Joomla, а насправді дірка лише в компоненті, то це питання до автора відео
. В даному випадку це не суть важливо, бо в цілому назва відповідає суті відео - на прикладі сайта на Джумлі демонструються різновиди SQLi атак.
Те що даний діяч місцями неточний (як з назвою відео, так і в деяких інших моментах) і що саме відео не є кращим прикладом відео-посібника, то на це я звернув увагу. Але в цілому його цілком достатньо для демонстрації використання LOAD_FILE. В тих відео-манулах про використання SQL Ін’єкцій, які я опублікував раніше на сайті, не було прикладів семе доступа до файлової системи. І коли я натрапив на дане відео, де було показане використання LOAD_FILE, я і опублікував його на сайті, щоб привернути увагу до цієї теми.
Серед моїх читачів є багато адмінів сайтів й веб девелоперів, і чимало з них або мало обізнані, або зовсім не знають про подібні атаки. Ось на них і орієнтоване дане відео.
Субота, 22:27 17.10.2009
Як раз важливо
. Назва “Просунутий SQL Injection в Joomla” напевно у 90% викликає здивування. Відкриваючи лінк - розчарування . До чого тут які сайти я читаю? В основному це ачат, і що такого? А те що ти зробив назву базуючись на назві ролика тебе аж ніяк не виправдовує. Це виглядає як тупий копіпаст. Не рекомендую таке робити.