SQL Injection - darmowe szkolenie dla początkujących
📩Newsletter: https://security.szurek.pl/live/
💬Facebook: https://www.facebook.com/groups/od0dopentestera
🧪Laboratorium: https://szurek.win
🔗Baza linków: https://security.szurek.pl/linki/6
☁️100$ na DigitalOcean (reflink): https://security.szurek.pl/linki/d/
0:00 Intro
3:21 Informacje organizacyjne
4:47 Spis treści
5:04 To materiał dla początkujacych
5:56 Składnia SQLite
8:02 Jak wygląda baza danych
9:04 Porównanie do kalkulatora
11:08 Podstawowe zapytanie SELECT
13:39 Gdzie można "wstrzyknąć" dane
14:14 Jak wygląda zmodyfikowane zapytanie
15:17 Skąd biorą się błędy SQL Injection
16:36 Przykład nieprawidłowego zapytania
18:24 Składnia komentarzy w SQL
19:29 Jak można przesyłać tekst do bazy
20:00 Składnia WHERE
20:55 Kolumna ID
21:26 Operator logiczny OR
22:27 Operator logiczny AND
22:58 Laboratorium 1 - wyświetl imię "tajnego klienta"
32:11 Wyświetlanie wszystkich rekordów
35:18 Laboratorium 2 - wyświetl imiona wszystkich klientów
36:56 Ograniczenie ilości zwracanych danych - LIMIT
38:57 Laboratorium 3 - wyświetl imię drugiego klienta
43:09 Łączenie dwóch tabel ze sobą - UNION
45:51 Wymagania składni UNION
47:04 Zgadywanie liczby kolumn - składnia UNION
48:52 Laboratorium 4 - zgadnij liczbę kolumn w tabeli klienci używając UNION
53:23 Jak chronić się przed SQL Injection - Prepared statements
54:48 Zgadywanie liczby kolumn - składnia ORDER BY
58:01 Laboratorium 5 - zgadnij liczbę kolumn w tabeli klienci używając ORDER BY
59:19 Jak poznać rodzaj bazy danych
1:00:36 Laboratorium 6 - sprawdź wersję bazy danych
1:03:22 Jak poznać nazwy tabel i kolumn
1:03:59 Tabela sqlite_schema
1:04:54 Jak działa sqlite_schema
1:06:53 Laboratorium 7 - znajdź ukrytą tabelę
1:09:35 Co zrobić gdy baza zwraca tylko odpowiedź tak/nie
1:10:15 Boolean-based SQL Injection
1:12:22 Składnia LIKE
1:13:49 Laboratorium 8 - znajdź hasło użytkownika kacper
1:18:41 Funkcja length()
1:19:51 Funkcja substr()
1:20:42 Laboratorium 8 - znajdź hasło użytkownika tomek
1:25:33 Blind SQL Injection
1:27:43 Czas wyświetlania stron
1:28:44 Losowe dane - funkcja randomblob()
1:30:34 Teoretyczne użycie Blind SQL Injection
1:31:11 Laboratorium 9 - znajdź email użytkownika o id = 3
1:35:37 Wiele warunków - operator CASE
1:38:44 Dodawanie danych a bezpieczeństwo
1:39:15 Niebezpieczny formularz rejestracji
1:42:23 Laboratorium 10 - stwórz nowego administratora
1:45:27 Wiele zapytań na raz - multiple statements
1:53:45 Ankieta
1:56:26 Outro
Darmowe (i praktyczne) szkolenie z podstaw SQL Injection.
Dlaczego zapytania do baz danych mogą być niebezpieczne.
📙 Co to jest (i na czym polega) SQL Injection
🛠 Pobieranie danych przy pomocy składni UNION
🔢 Jak znaleźć liczbę kolumn w zapytaniu
❓ Boolean based SQL Injection – co zrobić z odpowiedziami w stylu tak/nie
🕶 Blind SQL Injection – co jeśli baza nie wyświetla wyników na stronie
➕ Błędy podczas dodawania/modyfikowania danych do tabeli
Видео SQL Injection - darmowe szkolenie dla początkujących канала Kacper Szurek
💬Facebook: https://www.facebook.com/groups/od0dopentestera
🧪Laboratorium: https://szurek.win
🔗Baza linków: https://security.szurek.pl/linki/6
☁️100$ na DigitalOcean (reflink): https://security.szurek.pl/linki/d/
0:00 Intro
3:21 Informacje organizacyjne
4:47 Spis treści
5:04 To materiał dla początkujacych
5:56 Składnia SQLite
8:02 Jak wygląda baza danych
9:04 Porównanie do kalkulatora
11:08 Podstawowe zapytanie SELECT
13:39 Gdzie można "wstrzyknąć" dane
14:14 Jak wygląda zmodyfikowane zapytanie
15:17 Skąd biorą się błędy SQL Injection
16:36 Przykład nieprawidłowego zapytania
18:24 Składnia komentarzy w SQL
19:29 Jak można przesyłać tekst do bazy
20:00 Składnia WHERE
20:55 Kolumna ID
21:26 Operator logiczny OR
22:27 Operator logiczny AND
22:58 Laboratorium 1 - wyświetl imię "tajnego klienta"
32:11 Wyświetlanie wszystkich rekordów
35:18 Laboratorium 2 - wyświetl imiona wszystkich klientów
36:56 Ograniczenie ilości zwracanych danych - LIMIT
38:57 Laboratorium 3 - wyświetl imię drugiego klienta
43:09 Łączenie dwóch tabel ze sobą - UNION
45:51 Wymagania składni UNION
47:04 Zgadywanie liczby kolumn - składnia UNION
48:52 Laboratorium 4 - zgadnij liczbę kolumn w tabeli klienci używając UNION
53:23 Jak chronić się przed SQL Injection - Prepared statements
54:48 Zgadywanie liczby kolumn - składnia ORDER BY
58:01 Laboratorium 5 - zgadnij liczbę kolumn w tabeli klienci używając ORDER BY
59:19 Jak poznać rodzaj bazy danych
1:00:36 Laboratorium 6 - sprawdź wersję bazy danych
1:03:22 Jak poznać nazwy tabel i kolumn
1:03:59 Tabela sqlite_schema
1:04:54 Jak działa sqlite_schema
1:06:53 Laboratorium 7 - znajdź ukrytą tabelę
1:09:35 Co zrobić gdy baza zwraca tylko odpowiedź tak/nie
1:10:15 Boolean-based SQL Injection
1:12:22 Składnia LIKE
1:13:49 Laboratorium 8 - znajdź hasło użytkownika kacper
1:18:41 Funkcja length()
1:19:51 Funkcja substr()
1:20:42 Laboratorium 8 - znajdź hasło użytkownika tomek
1:25:33 Blind SQL Injection
1:27:43 Czas wyświetlania stron
1:28:44 Losowe dane - funkcja randomblob()
1:30:34 Teoretyczne użycie Blind SQL Injection
1:31:11 Laboratorium 9 - znajdź email użytkownika o id = 3
1:35:37 Wiele warunków - operator CASE
1:38:44 Dodawanie danych a bezpieczeństwo
1:39:15 Niebezpieczny formularz rejestracji
1:42:23 Laboratorium 10 - stwórz nowego administratora
1:45:27 Wiele zapytań na raz - multiple statements
1:53:45 Ankieta
1:56:26 Outro
Darmowe (i praktyczne) szkolenie z podstaw SQL Injection.
Dlaczego zapytania do baz danych mogą być niebezpieczne.
📙 Co to jest (i na czym polega) SQL Injection
🛠 Pobieranie danych przy pomocy składni UNION
🔢 Jak znaleźć liczbę kolumn w zapytaniu
❓ Boolean based SQL Injection – co zrobić z odpowiedziami w stylu tak/nie
🕶 Blind SQL Injection – co jeśli baza nie wyświetla wyników na stronie
➕ Błędy podczas dodawania/modyfikowania danych do tabeli
Видео SQL Injection - darmowe szkolenie dla początkujących канала Kacper Szurek
Показать
Комментарии отсутствуют
Информация о видео
Другие видео канала
Testowanie bezpieczeństwa API - przegląd ciekawostek, sztuczek i porad
Security awareness - fałszywe sklepy internetowe
SQL Injection - co to takiego i jak się przed tym chronić.
Hacking Websites with SQL Injection - Computerphile
Running an SQL Injection Attack - Computerphile
Webinarium Excel: wprowadzenie do makr i VBA
Jak zostać pentesterem/jak zacząć naukę bezpieczeństwa?
OSINT – jakie informacje o sobie można znaleźć w Internecie
„HAKERSKIE” GADŻETY - narzędzia używane podczas Red Teamingu
Czy przeglądarki nas szpiegują? Jak działa browser fingerprinting
Czy korzystać z Menadżera Haseł? (wady i zalety)
O 2FA dla programistów i pentesterów
Do czego potrzebujemy baz danych? Podstawy pracy z bazami relacyjnymi (SQL)
Bezpieczeństwo i prywatność iPhone'a![Magistrala CAN [RS Elektronika] #137](https://i.ytimg.com/vi/dFq61SL7j_c/default.jpg)
Magistrala CAN [RS Elektronika] #137
Wprowadzenie do BurpSuite - jak używać Repeater
Co to jest (i jak działa) CSP - Content Security Policy
Skutki błędów SQL Injection - wykonanie kodu![[OWASP Top 10] A10: Insufficient Logging and Monitoring - niedostateczne logowanie i monitorowanie](https://i.ytimg.com/vi/NKZ1HXQB4I8/default.jpg)
[OWASP Top 10] A10: Insufficient Logging and Monitoring - niedostateczne logowanie i monitorowanie
Błędy, o których (nie) słyszałeś