Injections SQL

Injection SQL - Cheatsheet

Identification de Vulnérabilités :
- Testez les paramètres d'URL, les formulaires de recherche et les champs d'entrée pour identifier les points d'injection possibles.
- Recherchez les messages d'erreur SQL et les erreurs personnalisées qui pourraient indiquer une vulnérabilité.
Injection SQL Basique :
- Utilisez des apostrophes (') ou des guillemets (") pour tenter de fermer les requêtes SQL et injecter du code malveillant.
- Exemple : ' OR 1=1 -- , " OR 1=1 --
Injection SQL Basée sur les UNION :
- Utilisez l'opérateur UNION pour fusionner les résultats de requêtes.
- Exemple : ' UNION SELECT null, table_name FROM information_schema.tables --
Extraction de Données Sensibles :
- Utilisez les fonctions SQL spéciales pour extraire des données sensibles.
- Exemple : UNION SELECT username, password FROM users --
Contournement des Mécanismes d'Authentification :
- Utilisez des injections SQL pour contourner les mécanismes d'authentification.
- Exemple : ' OR 1=1 LIMIT 1 --
Exécution de Commandes :
- Utilisez des fonctions SQL permettant d'exécuter des commandes système (attention, cela peut être dangereux).
- Exemple : ; DROP TABLE users; --
Utilisation de Requêtes Préparées :
- Testez si l'application utilise des requêtes préparées pour empêcher les injections SQL.
- Essayez de modifier la requête avec un payload malveillant.
- Exemple : Utilisation de librairies ou d'ORM qui utilisent des requêtes préparées.
Utilisation d'outils d'injection SQL :
- Utilisez des outils automatisés comme SQLMap pour accélérer le processus de découverte et d'exploitation.

PreviousAttaques XSS NextHTTP login avec Hydra

Last updated 1 year ago

Injections SQL

Injection SQL - Cheatsheet

Identification de Vulnérabilités :
- Testez les paramètres d'URL, les formulaires de recherche et les champs d'entrée pour identifier les points d'injection possibles.
- Recherchez les messages d'erreur SQL et les erreurs personnalisées qui pourraient indiquer une vulnérabilité.
Injection SQL Basique :
- Utilisez des apostrophes (') ou des guillemets (") pour tenter de fermer les requêtes SQL et injecter du code malveillant.
- Exemple : ' OR 1=1 -- , " OR 1=1 --
Injection SQL Basée sur les UNION :
- Utilisez l'opérateur UNION pour fusionner les résultats de requêtes.
- Exemple : ' UNION SELECT null, table_name FROM information_schema.tables --
Extraction de Données Sensibles :
- Utilisez les fonctions SQL spéciales pour extraire des données sensibles.
- Exemple : UNION SELECT username, password FROM users --
Contournement des Mécanismes d'Authentification :
- Utilisez des injections SQL pour contourner les mécanismes d'authentification.
- Exemple : ' OR 1=1 LIMIT 1 --
Exécution de Commandes :
- Utilisez des fonctions SQL permettant d'exécuter des commandes système (attention, cela peut être dangereux).
- Exemple : ; DROP TABLE users; --
Utilisation de Requêtes Préparées :
- Testez si l'application utilise des requêtes préparées pour empêcher les injections SQL.
- Essayez de modifier la requête avec un payload malveillant.
- Exemple : Utilisation de librairies ou d'ORM qui utilisent des requêtes préparées.
Utilisation d'outils d'injection SQL :
- Utilisez des outils automatisés comme SQLMap pour accélérer le processus de découverte et d'exploitation.

PreviousAttaques XSS NextHTTP login avec Hydra

Last updated 1 year ago