CTF এর আদ্যপান্ত- ৩
- প্রকাশিত: ০১:২৩:১০ অপরাহ্ন, সোমবার, ৪ নভেম্বর ২০২৪
- / 82
আমরা আগেই জেনেছি ডাটাবেস কি? ডাটাবেইসে কি কি থাকে? কেন এস কিউ এল ইঞ্জেকশন কেন করি? ইত্যাদি ইত্যাদি। যদি আগে পড়ে না থাকেন তাহলে পড়ে নিন- https://m.me/i.am.4R1F তারপর ও এক কথায় যদি বলি- SQL Injection কেন করি? তাহলে বলবো- ওয়েভ সাইটের ডাটাবেস থেকে ডাটা বের করার জন্য। সেজন্য প্রথমে যে বিষযটি জানা প্রয়োজন তা হলো এসকিউএল ইঞ্জেকশান পয়েন্ট।
SQL Injection Points
এসকিউএল ইঞ্জেকশান পয়েন্ট হলো- সাইটের লিংকে কোন একটি ভেরিয়েবল থাকবে(যেমনঃ id বা cat বা prodID বা news_id বা a, বা যে কোন একটি) এর পর = দিয়ে সেটার একটি ভেল্যু থাকবে (যেমনঃ 1 বা 2 বা 2001 বা 1214 বা love বা missu বা যে কোন), এটাই হলো ইঞ্জেকশান পয়েন্ট। এই পয়েন্ট ই আমাদের গুগল এর মাধ্যেমে খুঁজে বের করতে হবে।
আলটেমেইটলী গুগল ডর্ক দিয়ে খুঁজলে নিচের মতোই হবে ডর্ক গুলো। Some SQL Injection Dork
php?id=
php?cat=
php?prodID=
products_id=
php?categoryid=
php?news_id=
php?cat_id=
php?bookid=
php?productid=
php?item_id=
php?item_id=
এভাবেও সার্চ করেতে পারেন, অথবা এগুলোকে আরো স্পেসিফিক করতে পারেন, যেমনঃ
php?id= site:.in
php?id= site:.pk
php?id= site:.th
php?cat= site:.in
php?cat= site:.pk
php?cat= site:.com
php?cat= site:.net
php?cat= site:.org
আবার কোন স্পেসিফিক সাইটের জন্যও হতে পারে, যেমনঃ php?id= site:http://berkeleyrecycling.org
সবার আগে সাইটের এসকিউএল ইঞ্জেকশান পয়েন্ট বের করতে হবে, তারপর চেক করতে হবে পয়েন্ট টি ভনারেবল কিনা(শেষে ‘ দিয়ে)। যদি সাইটের এসকিউএল ইঞ্জেকশান পয়েন্ট ভনারেবল হয় তাহলেই আমরা হাভিজ দিয়ে বা যে কোন অটোমেটেড টুলস্ দিয়ে অথবা ম্যানুয়েলী সেই ডাটাবেস থেকে ডাটা বের করার ট্রাই করবো।
ধন্যবাদ
মোহাম্মদ আরিফ শেখ
কম্পিউটার সাইন্স এন্ড ইন্জিনিয়ারিং
ঢাকা প্রকৌশল ও প্রযুক্তি বিশ্ববিদ্যালয়, গাজীপুর
