Интернет магазин китайских планшетных компьютеров

Компьютеры - Внедрение SQL-кода - Методика атак типа внедрение SQL-кода

Поиск скриптов, уязвимых для атаки

На данном этапе злоумышленник изучает поведение скриптов сервера при манипуляции входными параметрами с целью обнаружения их аномального поведения. Манипуляция происходит всеми возможными параметрами:

• Данными передаваемыми через методы POST и GET
• Значениями
• HTTP_REFERER
• AUTH_USER и AUTH_PASSWORD

Как правило, манипуляция сводится к подстановке в параметры символа одинарной кавычки.

Аномальным поведением считается любое поведение, при котором страницы, получаемые до и после подстановки кавычек, различаются.

Наиболее частые примеры аномального поведения:

• выводится сообщение о различных ошибках;
• при запросе данных запрашиваемые данные не выводятся вообще, хотя страница отображается

и т. д. Следует учитывать, что известны случаи, когда сообщения об ошибках, в силу специфики разметки страницы, не видны в браузере, хотя и присутствуют в её HTML-коде.