Dosto Aaj Is Post me ham baat karne bale he SQL Injection Kya Hota Hai Aur Isske Kya Nuksaan Hain. Aur Isse kese Bacha Jaaye. SQL Injection Ek Technique Hai Jo Kisi Bhi Website Ko sql injection 💉 technique se Hack Karne Ke Liye Use Hoti Hai. SQL Injection Ko Samajhne Ke Liye Sabse Phle apko Website Ke Structure Ko Samjhna hoga ki kese koi website work karti he . Kisi Bhi Website Me Generally 3 Parts Hote Hain
- Presentation Layer Ya Website Ka Design
- Business Logic Layer Ya Website Ka Server Side Logic
- Data Layer Ya Website Ka Database
SQL (Structured Query Language) Ek Language Hai Jiski Help Se Hum Kisi Bhi Database Ko Manage Karte Hain. Database Jaise Ki Mysql , Oracle, Micro Soft SQL Ya database me hamari puri information store rheti he.
Database ka kya use hai
database basically bo data hota he jisko aap future me change kar sakho means bo admin usjo read, edit aur delete kar sake. Agar Aap Website Me Registration Ka Module Dete Hain Hai To Users Ki Sari Information Database Me Hi Store Karni Chahiye. Ye Database Kisi Bhi Company Ka Ho Sakta Hai Jaise Oracle, Mysql, MS SQL. Example : Jese ki ap whatsapp facebook instagram use karte ho to jo ap chat karte ho photo upload karte ho bo sari jankari facebook ke database me store hoti he.
SQL Injection Kya Hota Hai
So guys ab ap sql aur database kaa use samaj gaye ho to ab jante he SQL Injection Kya Hota Hai.
To sabse phele apan isko SQl injection attack se samjhne ki kosis karte he
guys jese apko pta he apki website me jab ap login karte ho to usme user aur password login ka form aata he. jisko ap form fill karke website me login karte ho.
जब User इस Form पर Login करने के लिए अपना Username व Password Enter करके Login Form को Submit करता है, तो Web Server पर उस HTML User Form के Username व Password को Extract ya Receive किया जाता है और इस Username व Password को Back End(Server Side Logic) में MySQL Database पर निम्नानुसार एक Query में Use करके इस बात का पता लगाया जाता है, कि ye Username व Password किसी Valid Authenticated User का Username Password है या नहीं.
SELECT * FROM usertable WHERE username = ‘$input_user’ AND password = ‘$input_pass’;
यदि उपरोक्त Query ke Fire होने पर कोई Record milta है, तो इसका मतलब ये है कि Specified Username व Password Database में Available हैं। यानी Specified Username/Password वाले User को Website के Secure Area में Redirect किया जा सकता है।
यदि उपरोक्त Query Fire होने से पहले User Form द्वारा आने वाले Username व Password को Sanitize किया जाता है, तब तो ठीक है। लेकिन यदि User Form द्वारा आने वाले Username व Password को Sanitize नहीं किया जाए तो User अपने HTML Form पर Username के रूप में “anything’ OR 1=1 —” व Password के रूप में “anything” Insert करके Form को Submit कर सकता है और यदि User ऐसा करता है, तो उपरोक्तानुसार Fire होने वाली SSQL Query वास्तव में निम्नानुसार Format में Fire होगी%
SELECT * FROM usertable WHERE username = ‘anything’ OR 1=1; — AND password = ‘anything’;
जब उपरोक्त Query Execute होगा, तो ये Query User को Website के Secure ।तमं में पहुंचा देगा जबकि Useत ने Username व Password के रूप में कोई Valid Information Specify नहीं किया है।
ऐसा इसलिए होता है क्योंकि MySQL व अन्य कई Databases में “—” को Comment के लिए Use किया जाता है। यानी “—” के बाद जो कुछ भी लिखा होता है, MySQL उसे Ignore कर देता है।
जबकि उपरोक्त Query में Username के “anything’ OR 1=1;” Specify करने का मतलब MySQL Database के लिए ये है कि या तो username = ‘anything’ हो या फिर 1=1 यानी True हो।
अब यदि Current Database में ‘anything’ नाम का User होगा, तब भी Condition True हो जाएगी और यदि Current Database में ‘anything’ नाम का User नहीं होगा, तो OR 1=1 Statement Execute होगा, जो कि True ही Return करेगा क्योंकि 1 हमेंशा 1 के बराबर होता है। इतना ही नहीं, 1=1 के Just बाद में “—“ Specify करके User ने आगे की पूरी SQL Query को एक Comment में Convert कर दिया है।
फलस्वरूप MySQL Database इससे आगे के Statement को Execute करते हुए Password को Check ही नहीं करेगा और Final True Return करते हुए ये मान लेगा कि Current User एक Valid User है और उसे Website के Secure Area में Redirect कर देगा।
इस तरह से किसी User Form के माध्यम से बिना Valid Username/Password के किसी Site/Blog के Sensitive व Secure Area में Enter करने हेतु लिखे जाने वाले SQL Statement को ही SQL Injection Attack कहा जाता है yaani doosare Shabdo me kahen to SQL Injection एक ऐसा तरीका होता है जिसमे हम यूजर लॉगिन और Password के स्थान पर कुछ ऐसे Invalid Set Of Characters Enter करते हैं जो की SQL के माध्यम से हमारे डेटाबेस को गुमराह कर देते हैं और अवैध डाटा के बाद भी यूजर को वैध (Valid) बताते हैं . Aayiye Kuchh Common Sets Ke Baare Me Jante Hain Jinko Aap Login Form Ke Through SQL Me Inject Karke Invalid Entry Pa Sakte Hain
- or’1=1′:Kisi Bhi Nayi Website Ke Admin Login Ya User Login Panel Me Jaake User Id Aur Password Ke jaghe Pe Ye Or’1=1′ Yaad Rakhiyega Id Aur Password Dono Me Aapko Same Likhna Hai. Agar Site Ki Security Ko Achchi Tarah Se Program Nahi Kiya Gaya Hai To Koi Bhi Asaani Se Entry Kar Sakta Hai Bbhale Hi Useke Pass User Id Ya Password Na Ho
- ” or “”=”: Ye Bhi Ek Tarika Hai SQl Injection apni website me inject kar sakte ho 💉 ye ek doosara code hai
Is tarah ke Kayi aur Sets hain jinke through aap apni Site me Invalid Tarike se entry karne ke step ko samajh sakte hain aur doosare person ko bhi samjha sakte hain ki darasal SQL injection Kya hota hai.
SQL Injection se Apni Website Ko Kaise Bachaye
- Guys jo User Inputs website me hota he usko PHP ya ASP me Extract Karke Wahi Sanitize kar dijiye .
- website me Filter Lagayiye
- Javascript ya HTML proper Validation Use kijiye means usme error naa aaye.
- Log Maintain kijiye aur Agar Koi IP baar baar SQL Inject Karne ki koshish kar raha hai to Use Turant Block kijiye
- Special Characters ko Replace kijiye
- Captcha Ka Prayog Kijiye
- Time By Time Backup Lete rahiye backup lene se apki site kaa data save rhega.
so guys i hope apko ye post pasand aai hogi so guys eshe hi hamare blog ko follow kare kyuki ham apke liye eshi hi jankari late rhete he.... 😘 😍
No comments:
Post a Comment