Publication detail

Kompromitace dat pomocí SQL Injection, část II.

ANTAL, L. BARABAS, M. HANÁČEK, P.

Original Title

Kompromitace dat pomocí SQL Injection, část II.

English Title

Data compromise by SQL Injection, part II.

Type

journal article - other

Language

Czech

Original Abstract

V minulém díle bylo popsáno klasické zneužití zranitelnosti SQL Injection a to pro krádež či modifikaci databázových dat. Po odhalení zranitelnosti SQL Injection v aplikaci však nemusí cíle útočníka zůstat pouze u dat v databázi. Útočník se pomocí SQL Injection může pokusit číst soubory z lokálního disku a také na disk zapisovat, může provést útok prostřednictvím XSS (Cross Site Scripting) i skenovat porty v interní síti. 

English abstract

In previous work we described the classic SQL Injection exploits used for theft or modification of database data. After discovery of SQL injection in application, the goals of attacker do not have to stay only in database. The attacker can try with SQL Injection to read files on the local disk and even write to the disk, it may carry out an attack through XSS (Cross Site Scripting) and scan ports on the internal network.

Keywords

injekce, kompromitace, OWASP, SQL, útok, validace, web

Key words in English

attack, compromise, injection, OWASP, SQL, validation, web

Authors

ANTAL, L.; BARABAS, M.; HANÁČEK, P.

RIV year

2014

Released

28. 6. 2014

ISBN

1211-8737

Periodical

DSM Data Security Management

Year of study

18

Number

2

State

Czech Republic

Pages from

32

Pages to

35

Pages count

4

URL

https://www.fit.vut.cz/research/publication/10667/

BibTex

@article{BUT111617,
  author="Lukáš {Antal} and Maroš {Barabas} and Petr {Hanáček}",
  title="Kompromitace dat pomocí SQL Injection, část II.",
  journal="DSM Data Security Management",
  year="2014",
  volume="18",
  number="2",
  pages="32--35",
  issn="1211-8737",
  url="https://www.fit.vut.cz/research/publication/10667/"
}