Utafutaji wowote wa udhaifu kwenye rasilimali za wavuti huanza na upelelezi na ukusanyaji wa taarifa.
Akili inaweza kuwa hai - nguvu ya kikatili ya faili na saraka za tovuti, kuendesha vichanganuzi vya hatari, kuvinjari tovuti kwa mikono, au kutofanya kazi - kutafuta taarifa katika injini tofauti za utafutaji. Wakati mwingine hutokea kwamba mazingira magumu yanajulikana hata kabla ya kufungua ukurasa wa kwanza wa tovuti.
Je, hili linawezekanaje?
Tafuta roboti, zinazozunguka mtandaoni kila mara, pamoja na taarifa muhimu kwa mtumiaji wa kawaida, mara nyingi hurekodi mambo ambayo yanaweza kutumiwa na wavamizi kushambulia rasilimali ya wavuti. Kwa mfano, hitilafu za hati na faili zilizo na taarifa nyeti (kutoka faili za usanidi na kumbukumbu hadi faili zilizo na data ya uthibitishaji na hifadhi za hifadhidata).
Kutoka kwa mtazamo wa robot ya utafutaji, ujumbe wa hitilafu kuhusu kutekeleza swala la sql ni maandishi wazi, yasiyoweza kutenganishwa, kwa mfano, kutoka kwa maelezo ya bidhaa kwenye ukurasa. Ikiwa ghafla roboti ya utafutaji ilipata faili iliyo na kiendelezi cha .sql, ambacho kwa sababu fulani kiliishia kwenye folda ya kufanya kazi ya tovuti, basi itatambuliwa kama sehemu ya maudhui ya tovuti na pia itaorodheshwa (pamoja na, ikiwezekana, manenosiri. iliyoainishwa ndani yake).
Taarifa kama hizo zinaweza kupatikana kwa kujua maneno muhimu, mara nyingi ya kipekee, ambayo husaidia kutenganisha "kurasa zinazoweza kuathirika" kutoka kwa kurasa ambazo hazina udhaifu.
Hifadhidata kubwa ya maswali maalum kwa kutumia maneno muhimu (kinachojulikana kama dorks) inapatikana kwenye exploit-db.com na inajulikana kama Hifadhidata ya Udukuzi wa Google.
Kwa nini google?
Dorks kimsingi inalengwa na Google kwa sababu mbili:
− sintaksia inayoweza kunyumbulika zaidi ya maneno muhimu (iliyoonyeshwa katika Jedwali 1) na herufi maalum (zinazoonyeshwa katika Jedwali 2);
− faharasa ya Google bado ni kamili zaidi kuliko ile ya injini nyingine za utafutaji;
Jedwali 1 - Maneno muhimu ya Google
Neno muhimu |
Maana |
Mfano |
tovuti |
Tafuta tu kwenye tovuti maalum. Inazingatia url pekee |
tovuti:somesite.ru - itapata kurasa zote kwenye kikoa fulani na vikoa vidogo |
inurl |
Tafuta kwa maneno yaliyopo kwenye uri. Tofauti na cl. maneno "tovuti", hutafuta zinazolingana baada ya jina la tovuti |
inurl:news - hupata kurasa zote ambapo neno lililotolewa linaonekana kwenye uri |
maandishi |
Tafuta kwenye mwili wa ukurasa |
maandishi:"msongamano wa magari" - sawa kabisa na ombi la kawaida la "msongamano wa magari" |
kichwa |
Tafuta katika kichwa cha ukurasa. Maandishi kati ya vitambulisho |
intitle:"index of" - itapata kurasa zote zilizo na orodha za saraka |
ext |
Tafuta kurasa zilizo na kiendelezi maalum |
ext:pdf - hupata faili zote za pdf |
aina ya faili |
Hivi sasa, sawa kabisa na darasa. neno "ext" |
filetype:pdf - sawa |
kuhusiana |
Tafuta tovuti zilizo na mada zinazofanana |
kuhusiana:google.ru - itaonyesha analogues zake |
kiungo |
Tafuta tovuti zinazounganisha hii |
kiungo:somesite.ru - utapata tovuti zote ambazo zina kiungo kwa hili |
fafanua |
Onyesha ufafanuzi wa neno |
fafanua:0day - ufafanuzi wa neno |
akiba |
Onyesha yaliyomo kwenye ukurasa kwenye akiba (ikiwa ipo) |
cache:google.com - itafungua ukurasa uliohifadhiwa |
Jedwali la 2 - Herufi maalum kwa hoja za Google
Alama |
Maana |
Mfano |
“ |
Maneno halisi |
mada:“Ukurasa wa usanidi wa kipanga njia cha RouterOS” - tafuta vipanga njia |
* |
Maandishi yoyote |
inurl: “bitrix*mcart” - tafuta tovuti kwenye bitrix zilizo na moduli ya mcart iliyo hatarini |
. |
Mhusika yeyote |
Index.of - sawa na index ya ombi |
- |
Futa neno |
hitilafu -onyo - onyesha kurasa zote ambazo zina hitilafu lakini hazina onyo |
.. |
Masafa |
cve 2006..2016 - onyesha udhaifu kwa mwaka kuanzia 2006 |
| |
Mantiki "au" |
linux | windows - onyesha kurasa ambapo neno la kwanza au la pili linaonekana |
Inafaa kuelewa kuwa ombi lolote kwa injini ya utaftaji ni utaftaji kwa maneno tu.
Haina maana kutafuta meta-wahusika kwenye ukurasa (nukuu, mabano, alama za uakifishaji, n.k.). Hata utafutaji wa maneno halisi yaliyotajwa katika alama za nukuu ni utafutaji wa neno, ikifuatiwa na utafutaji wa mechi halisi katika matokeo.
Sehemu zote za Hifadhidata ya Google Hack zimegawanywa kimantiki katika kategoria 14 na zimewasilishwa katika Jedwali la 3.
Jedwali 3 – Google Hack Database Jamii
Kategoria |
Ni nini hukuruhusu kupata |
Mfano |
Miguu |
Makombora ya wavuti, wasimamizi wa faili za umma |
Tafuta tovuti zote zilizodukuliwa ambapo ganda za wavuti zilizoorodheshwa zimepakiwa: (kichwa:"phpshell" AU kichwa:"c99shell" AU kichwa:"r57shell" AU kichwa:"PHP Shell" AU intitle:"phpRemoteView") `rwx` "uname" |
Faili zilizo na majina ya watumiaji |
Faili za Usajili, faili za usanidi, kumbukumbu, faili zilizo na historia ya amri zilizoingia |
Pata faili zote za usajili zilizo na habari ya akaunti: filetype:reg reg +intext:"msimamizi wa akaunti ya mtandao" |
Saraka Nyeti |
Saraka zilizo na habari anuwai (hati za kibinafsi, usanidi wa vpn, hazina zilizofichwa, n.k.) |
Pata orodha zote za saraka zilizo na faili zinazohusiana na VPN: Mada ya "Sanidi":"Kielezo cha" intext:vpn Tovuti zilizo na hazina za git: (maandishi:"index ya /.git") ("saraka ya mzazi") |
Utambuzi wa Seva ya Wavuti |
Toleo na habari zingine kuhusu seva ya wavuti |
Pata vidhibiti vya kiutawala vya seva ya JBoss: inurl:"/web-console/" mada:"Dashibodi ya Utawala" |
Faili Zinazoweza Kuathiriwa |
Hati zilizo na udhaifu unaojulikana |
Tafuta tovuti zinazotumia hati inayokuruhusu kupakia faili kiholela kutoka kwa seva: allinurl:forcedownload.php?file= |
Seva zilizo katika mazingira magumu |
Maandishi ya usakinishaji, makombora ya wavuti, koni za usimamizi zilizo wazi, n.k. |
Pata koni za PHPMyAdmin zilizo wazi zinazoendesha kama mzizi: intitle:phpMyAdmin "Karibu kwa phpMyAdmin ***" "inaendesha * kama mzizi@*" |
Ujumbe wa Hitilafu |
Hitilafu na maonyo mbalimbali mara nyingi hufichua taarifa muhimu - kutoka toleo la CMS hadi nenosiri |
Tovuti ambazo zina makosa katika kutekeleza maswali ya SQL kwenye hifadhidata: "Onyo: mysql_query()" "swali batili" |
Faili zilizo na maelezo ya juisi |
Vyeti, chelezo, barua pepe, kumbukumbu, hati za SQL, n.k. |
Pata maandishi ya sql ya uanzishaji: filetype:sql na "ingiza ndani" -site:github.com |
Faili zilizo na manenosiri |
Kitu chochote ambacho kinaweza kuwa na nywila - kumbukumbu, hati za sql, nk. |
Kumbukumbu zinazotaja manenosiri: aina ya faili:logimaandishi:nenosiri |kupita |pw hati za sql zilizo na nywila: ziada:sqlmaandishi:jina la mtumiajimaandishi:nenosiri |
Maelezo Nyeti ya Ununuzi Mtandaoni |
Taarifa zinazohusiana na ununuzi mtandaoni |
Tafuta misimbo: dcid=bn=pinikanuni= |
Data ya mtandao au uwezekano wa kuathiriwa |
Taarifa zisizohusiana moja kwa moja na rasilimali ya wavuti, lakini zinazoathiri mtandao au huduma zingine zisizo za wavuti |
Pata hati za usanidi otomatiki za seva mbadala zilizo na habari kuhusu mtandao wa ndani: inurl:wakala | inurl:wpad ext:pac | ext:dat findproxyfourl |
Kurasa zilizo na milango ya kuingia |
Kurasa zilizo na fomu za kuingia |
kurasa za wavuti za saplogon: maandishi:"2016 SAP AG. Haki zote zimehifadhiwa." kichwa: "Logon" |
Vifaa Mbalimbali vya Mtandaoni |
Printers, ruta, mifumo ya ufuatiliaji, nk. |
Pata paneli ya usanidi wa kichapishi: kichwa:"hpjeti ya laser"inurl:SSI/Auth/seti_config_maelezo ya kifaa.htm |
Ushauri na Udhaifu |
Tovuti kwenye matoleo ya CMS ambayo yanaweza kuathiriwa |
Pata programu-jalizi zilizo hatarini ambazo unaweza kupakia faili kiholela kwa seva: inurl:fckeditor -intext:"ConfigIsEnabled = False" intext:ConfigIsEnabled |
Dorks mara nyingi hulenga zaidi kutafuta kwenye tovuti zote za mtandao. Lakini hakuna kinachokuzuia kuzuia wigo wa utafutaji kwenye tovuti au tovuti yoyote.
Kila swali la Google linaweza kuangaziwa kwenye tovuti mahususi kwa kuongeza neno kuu "site:somesite.com" kwenye hoja. Neno hili kuu linaweza kuongezwa kwa dork yoyote.
Kuendesha utafutaji wa udhaifu
Hivi ndivyo wazo lilivyozaliwa ili kuandika matumizi rahisi ambayo huendesha utafutaji wa udhaifu kwa kutumia injini ya utafutaji (google) na inategemea Hifadhidata ya Google Hack.
Huduma ni hati iliyoandikwa katika nodejs kwa kutumia phantomjs. Kwa usahihi, hati inatafsiriwa na phantomjs yenyewe.
Phantomjs ni kivinjari kamili cha wavuti bila GUI, kinachodhibitiwa na msimbo wa js na API rahisi.
Huduma hiyo ilipokea jina linaloeleweka kabisa - dorks. Kwa kuiendesha kwenye mstari wa amri (bila chaguzi), tunapata usaidizi mfupi na mifano kadhaa ya matumizi:
Kielelezo 1 - Orodha ya chaguzi kuu za dorks
Syntax ya jumla ya matumizi ni: dork "amri" "orodha ya chaguo".
Ufafanuzi wa kina wa chaguzi zote umewasilishwa katika Jedwali 4.
Jedwali la 4 - syntax ya Dorks
Timu |
Chaguo |
Maelezo |
gdb |
-l |
Chapisha orodha yenye nambari ya kategoria za Dork Database ya Google Hack |
-c "nambari ya kitengo au jina" |
Pakia milango ya kitengo maalum kwa nambari au jina |
|
-q neno "maneno" |
Pakua dorks zilizopatikana kwa ombi |
|
-o "faili" |
Hifadhi matokeo kwa faili (tu na -c|-q chaguzi) |
|
google |
-d "dork" |
Weka dork ya kiholela (chaguo linaweza kutumika mara nyingi, mchanganyiko na -D chaguo inaruhusiwa) |
-D "faili" |
Tumia dorks kutoka kwa faili |
|
-s "tovuti" |
Weka tovuti (chaguo linaweza kutumika mara nyingi, mchanganyiko na chaguo -S inaruhusiwa) |
|
-S "faili" |
Tumia tovuti kutoka kwa faili (dorks zitatafutwa kwa kila tovuti kivyake) |
|
-f "chujio" |
Weka maneno muhimu ya ziada (yataongezwa kwa kila dork) |
|
-t "idadi ya ms" |
Muda kati ya maombi kwa google |
|
-T "idadi ya ms" |
Muda umeisha ikiwa kunasa itapatikana |
|
-o "faili" |
Hifadhi matokeo kwenye faili (ni nyimbo hizo tu ambazo kitu kilipatikana ndizo zitahifadhiwa) |
Kwa kutumia amri ya ghdb, unaweza kupata dorks zote kutoka exploit-db kwa ombi la kiholela, au taja kategoria nzima. Ukitaja kitengo cha 0, hifadhidata nzima itapakuliwa (takriban dorks elfu 4.5).
Orodha ya kategoria zinazopatikana kwa sasa zimeonyeshwa kwenye Mchoro 2.
Kielelezo 2 - Orodha ya kategoria zinazopatikana za GHDB
Timu ya google itabadilisha kila kizimba kwenye injini ya utafutaji ya google na kuchanganua matokeo ya mechi. Njia ambapo kitu kilipatikana kitahifadhiwa kwenye faili.
Huduma inasaidia njia tofauti za utaftaji:
Dork 1 na tovuti 1;
1 dork na maeneo mengi;
1 tovuti na dorks nyingi;
maeneo mengi na dorks nyingi;
Orodha ya dorks na tovuti inaweza kubainishwa ama kupitia hoja au kupitia faili.
Maonyesho ya kazi
Hebu tujaribu kutafuta udhaifu wowote kwa kutumia mfano wa kutafuta ujumbe wa makosa. Kwa amri: dorks ghdb -c 7 -o errors.dorks dorks zote zinazojulikana za kitengo cha "Ujumbe wa Hitilafu" zitapakiwa kama inavyoonyeshwa kwenye Mchoro 3.
Kielelezo 3 - Inapakia dorks zote zinazojulikana za kategoria ya "Ujumbe wa Hitilafu".
Dorks hupakuliwa na kuhifadhiwa kwenye faili. Sasa kilichobaki ni "kuziweka" kwenye tovuti fulani (ona Mchoro 4).
Kielelezo 4 - Tafuta udhaifu wa tovuti inayokuvutia kwenye akiba ya Google
Baada ya muda, kurasa kadhaa zilizo na makosa hugunduliwa kwenye tovuti inayochunguzwa (ona Mchoro 5).
Kielelezo 5 - Ujumbe wa hitilafu umepatikana
Matokeo yake, katika faili ya result.txt tunapata orodha kamili ya dorks zinazosababisha kosa.
Mchoro wa 6 unaonyesha matokeo ya kutafuta makosa ya tovuti.
Kielelezo 6 - Matokeo ya utafutaji ya hitilafu
Katika akiba ya doki hii, ufuatiliaji kamili unaonyeshwa, unaoonyesha njia kamili za hati, mfumo wa usimamizi wa maudhui ya tovuti na aina ya hifadhidata (ona Mchoro 7).
Kielelezo 7 - ufichuaji wa habari kuhusu muundo wa tovuti
Walakini, inafaa kuzingatia kuwa sio dorks zote kutoka GHDB zinazotoa matokeo ya kweli. Pia, Google inaweza isipate inayolingana kabisa na kuonyesha matokeo sawa.
Katika kesi hii, ni busara zaidi kutumia orodha yako ya kibinafsi ya dorks. Kwa mfano, daima inafaa kutafuta faili zilizo na upanuzi "zisizo za kawaida", mifano ambayo imeonyeshwa kwenye Mchoro 8.
Kielelezo 8 - Orodha ya viendelezi vya faili ambavyo si vya kawaida kwa rasilimali ya kawaida ya wavuti
Kwa hivyo, kwa amri ya dorks google -D extensions.txt -f benki, kutoka kwa ombi la kwanza kabisa Google huanza kurejesha tovuti na upanuzi wa faili "zisizo za kawaida" (ona Mchoro 9).
Kielelezo 9 - Tafuta aina za faili "mbaya" kwenye tovuti za benki
Inafaa kukumbuka kuwa Google haikubali maswali yenye urefu wa zaidi ya maneno 32.
Kwa kutumia amri dorks google -d intext:"error|onyo|notice|syntax" -f chuo kikuu
Unaweza kutafuta makosa ya mkalimani wa PHP kwenye tovuti za elimu (ona Mchoro 10).
Kielelezo 10 - Kutafuta makosa ya wakati wa kukimbia wa PHP
Wakati mwingine si rahisi kutumia aina moja au mbili za dorks.
Kwa mfano, ikiwa inajulikana kuwa tovuti inaendesha kwenye injini ya Wordpress, basi tunahitaji moduli maalum za WordPress. Katika hali hii, ni rahisi kutumia Google Hack Database search. Amri dorks ghdb -q wordpress -o wordpress_dorks.txt itapakua dorks zote kutoka Wordpress, kama inavyoonyeshwa kwenye Mchoro 11:
Kielelezo 11 - Tafuta Dorks zinazohusiana na Wordpress
Hebu turejee kwenye benki tena na kutumia amri dorks google –D wordpress_dords.txt –f bank ili kujaribu kutafuta kitu cha kuvutia kinachohusiana na Wordpress (ona Mchoro 12).
Kielelezo 12 - Tafuta udhaifu wa Wordpress
Inafaa kumbuka kuwa utaftaji kwenye Hifadhidata ya Hack ya Google haukubali maneno mafupi kuliko herufi 4. Kwa mfano, ikiwa CMS ya tovuti haijulikani, lakini lugha inajulikana - PHP. Katika kesi hii, unaweza kuchuja unachohitaji mwenyewe kwa kutumia bomba na mfumo wa utafutaji wa shirika dorks -c wote | findstr /I php > php_dorks.txt (ona Mchoro 13):
Kielelezo 13 - Tafuta dorks zote ambapo PHP imetajwa
Kutafuta udhaifu au taarifa nyeti katika mtambo wa utafutaji kunafaa kufanywa tu ikiwa kuna faharasa muhimu kwenye tovuti hii. Kwa mfano, ikiwa tovuti ina kurasa 10-15 zilizoorodheshwa, basi ni ujinga kutafuta chochote kwa njia hii. Kuangalia ukubwa wa faharasa ni rahisi - ingiza tu "site:somesite.com" kwenye upau wa utafutaji wa Google. Mfano wa tovuti yenye faharasa haitoshi umeonyeshwa kwenye Mchoro 14.
Kielelezo 14 - Kuangalia ukubwa wa index ya tovuti
Sasa kuhusu jambo lisilopendeza... Mara kwa mara Google inaweza kuomba captcha - hakuna unachoweza kufanya kuhusu hilo - itabidi uiweke. Kwa mfano, wakati wa kutafuta kupitia kitengo cha "Ujumbe wa Hitilafu" (90 dorks), captcha ilionekana mara moja tu.
Inafaa kuongeza kuwa phantomjs pia inasaidia kufanya kazi kupitia proksi, kupitia kiolesura cha http na soksi. Ili kuwezesha hali ya seva mbadala, unahitaji kutengua mstari unaolingana katika dorks.bat au dorks.sh.
Chombo kinapatikana kama msimbo wa chanzo
Endesha faili iliyopakuliwa kwa kubofya mara mbili (unahitaji kuwa na mashine ya kawaida).
3. Kutokujulikana unapoangalia tovuti kwa sindano ya SQL
Kuanzisha Tor na Privoxy katika Kali Linux
[Sehemu inayoendelea]
Kuanzisha Tor na Privoxy kwenye Windows
[Sehemu inayoendelea]
Mipangilio ya wakala katika Sindano ya jSQL
[Sehemu inayoendelea]
4. Kuangalia tovuti kwa sindano ya SQL kwa Sindano ya jSQL
Kufanya kazi na programu ni rahisi sana. Ingiza tu anwani ya tovuti na ubonyeze ENTER.
Picha ya skrini ifuatayo inaonyesha kuwa tovuti iko katika hatari ya aina tatu za sindano za SQL (taarifa kuhusu wao imeonyeshwa kwenye kona ya chini ya kulia). Kwa kubonyeza majina ya sindano unaweza kubadilisha njia iliyotumiwa:
Pia, hifadhidata zilizopo tayari zimeonyeshwa kwetu.
Unaweza kutazama yaliyomo katika kila jedwali:
Kwa kawaida, jambo la kuvutia zaidi kuhusu meza ni sifa za msimamizi.
Ikiwa una bahati na unapata data ya msimamizi, basi ni mapema sana kufurahi. Bado unahitaji kupata paneli ya msimamizi mahali pa kuingiza data hii.
5. Tafuta paneli za admin zilizo na Sindano ya jSQL
Ili kufanya hivyo, nenda kwenye kichupo kifuatacho. Hapa tunasalimiwa na orodha ya anwani zinazowezekana. Unaweza kuchagua ukurasa mmoja au zaidi ili kuangalia:
Urahisi iko katika ukweli kwamba hauitaji kutumia programu zingine.
Kwa bahati mbaya, hakuna watengenezaji programu wengi wasiojali ambao huhifadhi nywila katika maandishi wazi. Mara nyingi kwenye mstari wa nenosiri tunaona kitu kama
8743b52063cd84097a65d1633f5c74f5
Hii ni heshi. Unaweza kusimbua kwa kutumia nguvu ya kinyama. Na... jSQL Sindano ina kujengwa katika nguvu brute.
6. Hashi za nguvu kwa kutumia Sindano ya jSQL
Urahisi usio na shaka ni kwamba hauitaji kutafuta programu zingine. Kuna msaada kwa heshi nyingi maarufu.
Hii sio chaguo bora zaidi. Ili kuwa gwiji katika kuorodhesha heshi, Kitabu "" kwa Kirusi kinapendekezwa.
Lakini, kwa kweli, wakati hakuna programu nyingine karibu au hakuna wakati wa kusoma, Sindano ya jSQL iliyo na kazi yake ya nguvu ya kikatili iliyojengwa itakuja kwa manufaa sana.
Kuna mipangilio: unaweza kuweka wahusika ambao wamejumuishwa kwenye nenosiri, safu ya urefu wa nenosiri.
7. Shughuli za faili baada ya kugundua sindano za SQL
Kwa kuongeza shughuli na hifadhidata - kuzisoma na kuzibadilisha, ikiwa sindano za SQL zitagunduliwa, shughuli zifuatazo za faili zinaweza kufanywa:
- kusoma faili kwenye seva
- kupakia faili mpya kwenye seva
- kupakia makombora kwenye seva
Na haya yote yanatekelezwa katika Sindano ya jSQL!
Kuna vikwazo - seva ya SQL lazima iwe na haki za faili. Wasimamizi wa mfumo mahiri wamezizima na hawataweza kupata ufikiaji wa mfumo wa faili.
Uwepo wa marupurupu ya faili ni rahisi sana kuangalia. Nenda kwenye tabo moja (kusoma faili, kuunda shell, kupakia faili mpya) na jaribu kufanya moja ya shughuli maalum.
Ujumbe mwingine muhimu sana - tunahitaji kujua njia kamili ya faili ambayo tutafanya kazi nayo - vinginevyo hakuna kitu kitafanya kazi.
Angalia skrini ifuatayo:
Kwa jaribio lolote la kufanya kazi kwenye faili, tunapokea jibu lifuatalo: Hakuna upendeleo wa FILE(hakuna marupurupu ya faili). Na hakuna kitu kinachoweza kufanywa hapa.
Ikiwa badala yake unayo kosa lingine:
Tatizo kuandika katika [directory_name]
Hii ina maana kwamba umebainisha vibaya njia kamili ambapo unataka kuandika faili.
Ili kukisia njia kamili, unahitaji angalau kujua mfumo wa uendeshaji ambao seva inaendesha. Ili kufanya hivyo, nenda kwenye kichupo cha Mtandao.
Rekodi kama hiyo (mstari Win64) inatupa sababu ya kudhani kuwa tunashughulika na Windows OS:
Keep-Alive: timeout=5, max=99 Seva: Apache/2.4.17 (Win64) PHP/7.0.0RC6 Muunganisho: Njia ya Keep-Alive: HTTP/1.1 200 SAWA Urefu wa Maudhui: 353 Tarehe: Ijumaa, 11 Des 2015 11:48:31 GMT X-Powered-By: PHP/7.0.0RC6 Content-Type: text/html; charset=UTF-8
Hapa tunayo Unix (*BSD, Linux):
Usimbaji-Hamisha: Tarehe iliyokatwa: Ijumaa, 11 Des 2015 11:57:02 Mbinu ya GMT: HTTP/1.1 200 Sawa Keep-Alive: timeout=3, max=100 Muunganisho: Keep-hai Content-Type: text/html X- Inaendeshwa Na: PHP/5.3.29 Seva: Apache/2.2.31 (Unix)
Na hapa tunayo CentOS:
Mbinu: HTTP/1.1 200 OK Muda wake unaisha: Alhamisi, 19 Nov 1981 08:52:00 GMT Set-Cookie: PHPSESSID=9p60gtunrv7g41iurr814h9rd0; path=/ Muunganisho: weka hai X-Cache-Lookup: MISS kutoka t1.hoster.ru:6666 Seva: Apache/2.2.15 (CentOS) X-Powered-By: PHP/5.4.37 X-Cache: MISS kutoka t1.hoster.ru Udhibiti wa Akiba: hakuna duka, hakuna akiba, lazima-kuthibitishwa, baada ya kuangalia=0, kuangalia mapema=0 Pragma: hakuna akiba Tarehe: Ijumaa, 11 Des 2015 12:08:54 GMT Uhamishaji-Usimbaji: Aina ya Maudhui-iliyokatwa: maandishi/html; charset=WINDOWS-1251
Kwenye Windows, folda ya kawaida ya tovuti ni C:\Seva\data\htdocs\. Lakini, kwa kweli, ikiwa mtu "alifikiria" kutengeneza seva kwenye Windows, basi, uwezekano mkubwa, mtu huyu hajasikia chochote kuhusu marupurupu. Kwa hivyo, unapaswa kuanza kujaribu moja kwa moja kutoka kwa saraka ya C:/Windows/:
Kama unaweza kuona, kila kitu kilikwenda sawa mara ya kwanza.
Lakini makombora ya Sindano ya jSQL yenyewe yanaleta mashaka akilini mwangu. Ikiwa una haki za faili, basi unaweza kupakia kitu kwa urahisi na kiolesura cha wavuti.
8. Kukagua kwa wingi tovuti za sindano za SQL
Na hata kazi hii inapatikana katika jSQL Injection. Kila kitu ni rahisi sana - pakua orodha ya tovuti (unaweza kuagiza kutoka kwa faili), chagua zile ambazo unataka kuangalia na ubofye kitufe kinachofaa ili kuanza operesheni.
Hitimisho kutoka kwa Sindano ya jSQL
Sindano ya jSQL ni zana nzuri na yenye nguvu ya kutafuta na kisha kutumia sindano za SQL zinazopatikana kwenye tovuti. Faida zake zisizo na shaka: urahisi wa matumizi, kazi zinazohusiana na kujengwa. Sindano ya jSQL inaweza kuwa rafiki bora wa anayeanza wakati wa kuchambua tovuti.
Miongoni mwa mapungufu, ningeona kutowezekana kwa hifadhidata za uhariri (angalau sikupata utendaji huu). Kama ilivyo kwa zana zote za GUI, moja ya hasara za programu hii inaweza kuhusishwa na kutokuwa na uwezo wa kutumika katika hati. Walakini, otomatiki fulani pia inawezekana katika programu hii - shukrani kwa kazi iliyojengwa ya ukaguzi wa tovuti ya wingi.
sampuli imara na cheti. Kwa punguzo maalum kwa vitivo na kozi yoyote!