تعرف على ثغرة Sql Injection التي حصدت ملايين المواقع ومن ضمنها فيسبوك وتويتر

في هذه المقالة سأقوم بتفصيل لك شرح ثغرة حقن إس كيو أل Sql Injection التي تسببت في اختراق ملايين المواقع وايقافها وتسريب الاف إن لم اقل ملايين البيانات التي في محتوى تلك المواقع .

دعونا اولا شئ نتعرف معنى Sql  

SQL هي نوع من انواع برمجة قواعد البيانات وتتبع شركة اوراكل العالمية ، يتم استخدام قواعد SQL في اغلب المواقع العالمية والبنوك وغيرها من المؤسسات نظرا لسهولة التعامل معها وحمايتها الأمنيه ، لكن لسوء الحظ تعرضت تلك المواقع والمؤسسات والبنوك الى هجمة SQL Injection التي حصدت الأف البيانات .

لنقوم الأن بتعريف ثغرة SQL INJECTION :

تعتبر ثغرة Sql Injection من ارعب الثغرات التي ارعبت ملايين المواقع  نظرا لسهولتها واحتواء غالبية المواقع بها مسبقا ، وتسمى ايضا بالعربية ب حقن إس كيو أل حيث تم استخدام كلمة حقن بالعربية او Injection بالانجليزية ، حيث تم تشبيه إبرة الحقن عند حقنها بدم المريض لنقل شئ ماء إلى جسم المريض تم تشبيها بحقن إبرة في قواعد بيانات SQL ونقل جميع البيانات من قاعدة البيانات الى المخترق او المستهدف .

انواع ثغرات SQL INJECTION :

يوجد عدة انواع لثغرات سكيو ال منها مايكون الإستهداف عن طريق ارسال البيانات ومنها مايكون عن طريق اختبار الإرسال 

لنغوص قليلا بثغرة سكيو ال عن طريق ارسال البيانات 



انظر الى الصورة  لنفرض انه يوجد جدولين الجدول الأول يحتوي على اسم المستخدم والجدول الثاني يحتوي على كلمة المرور ونعتبر ان اسم المستخدم srinivas وكلمة المرور تعتبر mypassword ، هذه البيانات محفوظه في قاعدة بيانات من نوع SQL ، فإذا اردنا فحص ان الموقع يحتوي على ثغرة SQL نقوم بكتابة اسم المستخدم ' OR 1 = 1 ; /* 
وتكون كلمة المرور */-- ، ستمكنك هذه الثغرة من تخطي لوحة تسجيل الدخول والدخول الى لوحة تحكم ادارة الموقع  مباشرة .


اما الثغرة الثانية وتعبتر الأشهر والأكثر انتشار وهي عن طريق استهداف رابط الموقع ويكون الفحص عن طريق اضافة علامة ' الى نهاية رابط الموقع ، فإذا وجدت تلخبط في المواضيع او وجدت ظهور رسالة خطأ فالموقع مصاب بثغرة SQL ، مثال لظهور خطأ SQL 



لاحظ مثل هذا الخطأ قد يظهر لك Warning : mysql_fetch

ويكون الأستهداف عن طريق تغيير علامة ' الى اوامر مباشرة الى قواعد SQL للتحكم واستخراج جميع البيانات المتواجده في القاعدة .

ماهي اشهر المواقع التي كانت مصابة بثغرة SQL INJECTION :

فيسبوك كانت مصابة بثغرة SQL INJECTION 
انظر الى الصورة عندما كان موقع فيسبوك مصاب بهذه الثغرة 



كما ترون موقع الفيسبوك كان مصاب بتلك الثغرة ولكن لحسن حظ الفيسبوك قاموا مبرمجي الفيسبوك بغلق الثغرة بوقت قصير جدا من اكتشافها في الموقع .

اما موقع تويتر

 فقد ظهرت الثغرة وايضا قام فريق Anonymous بإختراق وتسريب جزء من قاعدة البيانات والتي كانت تحتوي على اسماء المستخدمين وايضا كلمات مرورهم ولم يمضي وقت طويل إلا وقام تويتر بإغلاق تلك الثغرة .

كيف تعمل ثغرة SQL INJECTION 

يقوم المستهدف بفحص موقع معين ثم بعدها اذا كان الموقع مصاب بتلك الثغرة والتي تمكنك من اعطاء اوامر مباشرة الى بواعد البيانات SQL يقوم المستهدف بإستخراج الجداول والبيانات الموجوده في ذلك الموقع .
مثال لتلك الجدول هناك جدول في قواعد SQL يحتوي على رموز سرية وأسماء مستخدمين لموقع معين ثم بعدها يقوم بالدخول الى لوحة تحكم الموقع ويقوم بالدخول عن طريق الرموز السرية التي قام بإستخراجها من تلك الجداول .


انتظرونا في شروحات قادمة لثغرات اخرى جديده ومفصلة ومواضيع وخبايا اسرار التقنية .

وفي الأخير عالمنا الإلكتروني لايخلي من الثغرات وكل يوم ان لم اقل وكل ساعة تكتشف ثغرة جديده واستهداف جديد فإذا اردت ان تتعلم الإستهداف يجب عليك ان تتعلم اولا كيف تحمي نفسك .

اقرء ايضا :
من هم الهاكرز ؟ ومن هم الكراكرز ؟ وما الفرق بينهما ؟ طرق الحمايه .
تعرف على هجوم " رجل في وسط الهجوم " وطرق الحمايه منه .
افضل برنامج مكافح فيروسات للهاتف مع شرح كامل الميزات .