SQL иньекции на сайтах

SQL иньекции возникают когда веб мастера плохо фильтруют ввод данных. Можно найти уязвимые сайты и получить доступ к их базе данных.

Чтобы проверить сайт на SQL уязвимость нам нужна какая нибудь его страница на php в которой с помощью параметров передаются значения. Например site.ru/index.php?id=1

Чтобы найти сайты с параметрами можно ввести в гугл что-то вроде этого:

inurl:.ru inurl:.php?id=

Найдя сайты в которых в адресной строке используются параметры протестируем их программой jSQL (сперва установите Java 8).

https://github.com/ron190/jsql-injection

Эта программа в случае SQL иньекции сама покажет нам базу данных уязвимого сайта и даст доступ к ее данным. Нам достаточно лишь ввести в поле ввода адрес сайта с параметром который нужно взломать, и нажать Энтер.

При успешном взломе вы увидите слева названия таблиц БД, щелкая по которым мышью получим структуру таблиц. Отметив нужные поля в таблице жмем на нее двойным щелчком и получаем данные. Процесс небыстрый, и не все сайты уязвимы. Но за пару часов в гугле вполне можно найти дырявые сайты и сдампить их базу данных.