ダウンロードしたファイルをダブルクリックして実行します (仮想マシンが必要です)。
3. サイトの SQL インジェクションを確認する際の匿名性
Kali Linux で Tor と Privoxy を設定する
【開発中のセクション】
Windows での Tor と Privoxy のセットアップ
【開発中のセクション】
jSQL インジェクション プロキシ設定
【開発中のセクション】
4. jSQL インジェクションでサイトの SQL インジェクションをチェックする
プログラムでの作業は非常に簡単です。 サイトのアドレスを入力して ENTER を押すだけです。
次のスクリーンショットは、サイトが一度に 3 種類の SQL インジェクションに対して脆弱であることを示しています (それらに関する情報は右下隅に示されています)。 注射の名前をクリックすると、使用する方法を切り替えることができます。
また、既存のデータベースはすでに表示されています。
各テーブルの内容を確認できます。
通常、テーブルの最も興味深い部分は管理者の資格情報です。
運が良く、管理者のデータを見つけたとしても、喜ぶのは時期尚早です。 また、これらのデータを入力する管理パネルを見つける必要があります。
5. jSQL インジェクションで管理者を検索する
これを行うには、次のタブに移動します。 ここに、可能なアドレスのリストが表示されます。 チェックするページを 1 つ以上選択できます。
便利なのは、他のプログラムを使用する必要がないことです。
残念ながら、パスワードをクリア テキストで保存する不注意なプログラマはあまりいません。 パスワード文字列には、次のようなものがよく見られます
8743b52063cd84097a65d1633f5c74f5
これはハッシュです。 力ずくで解読できます。 そして… jSQL インジェクションにはブルートフォーサーが組み込まれています。
6. jSQL インジェクションによるブルートフォース ハッシュ
間違いなく便利なのは、他のプログラムを探す必要がないことです。 最も一般的なハッシュの多くがサポートされています。
これは最良の選択肢ではありません。 ハッシュの解読の第一人者になるには、ロシア語の「」という本をお勧めします。
しかし、もちろん、他のプログラムが手元にない場合や勉強する時間がない場合は、ブルート フォース機能が組み込まれた jSQL インジェクションが役立ちます。
設定があります。パスワードに含まれる文字、パスワードの長さの範囲を設定できます。
7. SQLインジェクション検知後のファイル操作
データベースの操作 (データベースの読み取りと変更) に加えて、SQL インジェクションが検出された場合は、次のファイル操作を実行できます。
- サーバー上のファイルの読み取り
- サーバーへの新しいファイルのアップロード
- サーバーへのシェルのアップロード
そして、これはすべて jSQL インジェクションで実装されています!
制限があります。SQL サーバーにはファイル権限が必要です。 合理的なシステム管理者がいると、それらは無効になり、ファイル システムへのアクセスを取得できなくなります。
ファイル権限の存在は簡単に確認できます。 いずれかのタブ (ファイルの読み取り、シェルの作成、新しいファイルのアップロード) に移動し、示された操作のいずれかを実行してみてください。
もう 1 つの非常に重要な注意事項 - 使用するファイルへの正確な絶対パスを知る必要があります。そうしないと、何も機能しません。
次のスクリーンショットを見てください。
ファイルを操作しようとすると、次のように応答されます。 FILE権限なし(ファイル権限なし)。 そして、ここでは何もできません。
代わりに別のエラーが発生した場合:
[directory_name] への書き込みで問題が発生しました
これは、ファイルを書き込む絶対パスを誤って指定したことを意味します。
絶対パスを想定するには、少なくともサーバーが実行されているオペレーティング システムを知っている必要があります。 これを行うには、[ネットワーク] タブに切り替えます。
このようなエントリ (文字列 Win64) は、Windows OS を扱っていると仮定する理由を示しています。
キープアライブ: タイムアウト = 5、最大 = 99 サーバー: Apache/2.4.17 (Win64) PHP/7.0.0RC6 接続: キープアライブ メソッド: HTTP/1.1 200 OK コンテンツの長さ: 353 日付: 金曜日、2015 年 12 月 11 日11:48:31 GMT X-Powered-By: PHP/7.0.0RC6 コンテンツ タイプ: text/html; 文字セット=UTF-8
ここにいくつかの Unix (*BSD、Linux) があります:
Transfer-Encoding: チャンク Date: Fri, 11 Dec 2015 11:57:02 GMT Method: HTTP/1.1 200 OK Keep-Alive: timeout=3, max=100 Connection: keep-alive Content-Type: text/html X- Powered-By: PHP/5.3.29 サーバー: Apache/2.2.31 (Unix)
ここに CentOS があります。
メソッド: HTTP/1.1 200 OK 有効期限: 1981 年 11 月 19 日木曜日 08:52:00 GMT Set-Cookie: PHPSESSID=9p60gtunrv7g41iurr814h9rd0; path=/ 接続: キープアライブ X-Cache-Lookup: t1.hoster.ru:6666 からの MISS サーバー: Apache/2.2.15 (CentOS) X-Powered-By: PHP/5.4.37 X-Cache: MISS からt1.hoster.ru キャッシュ制御: no-store、no-cache、must-revalidate、post-check=0、pre-check=0 プラグマ: no-cache Date: Fri, 11 Dec 2015 12:08:54 GMT Transfer-Encoding: チャンク Content-Type: text/html; charset=WINDOWS-1251
Windows では、一般的なサイト フォルダーは次のとおりです。 C:\Server\data\htdocs\. しかし、実際には、誰かが Windows でサーバーを作成することを「考えた」場合、その人は特権について何も聞いていない可能性が非常に高いです。 したがって、C: / Windows / ディレクトリから直接試行を開始する必要があります。
ご覧のとおり、最初はすべてが完璧に進みました。
しかし、jSQL インジェクション シェル自体には疑問があります。 ファイル権限がある場合は、Web インターフェースを使用して何かをアップロードできます。
8. SQL インジェクションの一括チェック サイト
そして、jSQL インジェクションにもこの機能があります。 すべてが非常に簡単です。サイトのリストをアップロードし (ファイルからインポートできます)、チェックしたいサイトを選択し、適切なボタンをクリックして操作を開始します。
jSQL インジェクションによる出力
jSQL インジェクションは、サイトで見つかった SQL インジェクションを見つけて使用するための優れた強力なツールです。 その疑いのない利点: 使いやすさ、組み込みの関連機能。 jSQL インジェクションは、Web サイトを分析する際の初心者の親友になることができます。
欠点のうち、データベースを編集できないことに注意します(少なくとも、この機能は見つかりませんでした)。 グラフィカル インターフェイスを備えたすべてのツールと同様に、スクリプトで使用できないことは、このプログラムの欠点に起因する可能性があります。 それにもかかわらず、組み込みの一括サイト チェック機能のおかげで、このプログラムでもある程度の自動化が可能です。
jSQL インジェクションは、 sqlmap よりもはるかに便利に使用できます。 しかし、sqlmap はより多くの種類の SQL インジェクションをサポートし、ファイル ファイアウォール オプションやその他の機能を備えています。
結論: jSQL インジェクションは初心者ハッカーの親友です。
このプログラムのヘルプは、次のページの Kali Linux 百科事典で見つけることができます: http://kali.tools/?p=706
著者より:皆さん、こんにちは! この記事では、PHP プログラミング言語について説明します。 それが何に使われ、何ができるか、ウェブサイト開発の段階でどのような場所を占めるかを調べます。 また、この記事では、PHP でプログラミングできるようにしてお金を稼ぐためのさまざまな方法を見ていきます。
PHP とは何ですか? また、その目的は何ですか?
PHP は、Web アプリケーションの開発で非常に積極的に使用されているスクリプト言語です。 PHP は、動的な Web サイトの開発に使用される主要な言語の 1 つです。
PHP はサーバー側のプログラミング言語です。 この言語で書かれたすべてのスクリプトは、サイトのあるサーバー上で実行されます。 もちろん、PHP を学び、Web サイトやスクリプトを開発およびデバッグするには、インターネット上で実サーバーを購入することはできません。 これらの目的のために、サーバーエミュレーターが使用されます。サーバーエミュレーターは、動作中のコンピューターにプログラムとしてインストールされるだけです。 また、インターネット上のサーバー (ホスティング) には、既製のサイトと PHP スクリプトを含むページが配置されます。 ところで、最近のほとんどすべてのホスティングは PHP 言語をサポートしています。
Web サイト構築の分野でのこの言語の人気は、Web アプリケーションを開発するための多数の組み込みツールの存在によって決まります。 主なものは次のとおりです。
POST および GET パラメータ、および Web サーバー環境変数の定義済み配列への自動抽出。
多数の異なるデータベース管理システム (MySQL、MySQLi、SQLite、PostgreSQL、Oracle (OCI8)、Oracle、Microsoft SQL Server、Sybase、ODBC、mSQL、IBM DB2、Cloudscape および Apache Derby、Informix、Ovrimos SQL、Lotus) との相互作用Notes、DB++、DBM、dBase、DBX、FrontBase、FilePro、Ingres II、SESAM、Firebird / InterBase、Paradox File Access、MaxDB、PDO インターフェイス);
HTTP ヘッダーの自動送信。
Cookie とセッションを操作します。
ローカルおよびリモート ファイル、ソケットを操作します。
サーバーにアップロードされたファイルの処理;
XForms での作業。
ページで PHP スクリプトが実行されている例を見てみましょう。 たとえば、多くのサイトで名前と電子メールを入力するサブスクリプション フォームを考えてみましょう。 HTML と CSS は、フォームの外観 (入力フィールドとボタンの色、ホバーおよびクリック時のボタンの色の変更など) を担当します。 HTML5 では、フォームに入力されたデータの正確性 (たとえば、メールや電話のフィールドが正しく入力されているかどうか) を確認できます。
「購読」ボタンをクリックすると、フォームに入力したデータを受け取る PHP スクリプトが呼び出されます。 スクリプトはそれらをデータベースに書き込み、フォームで指定されたメールへの購読を確認するためのリンクを生成して送信し、購読の確認をチェックして、その後の手紙を送信します。 これらの操作はすべてサーバー上で実行され、PHP プログラミング言語を使用して実行されます。
Web サイト開発での PHP の使用
Web サイトを作成するには、いくつかの段階を順番に実行する必要があります。
計画。 この段階では、将来のサイトを計画します。誰のために、なぜサイトを作成するのか、誰がサイトを訪問するのか、どのように入力するのか、サイトに何を表示するのかなどです。
デザイン。 設計段階では、グラフィカル エディターでサイト ページの外観を作成します。
レイアウト。 レイアウト段階では、デザイン段階で得られたレイアウトから、HTMLとCSSを使用して、将来のサイトのHTMLページを作成します。
プログラミング。 プログラミング段階では、サイトでの作業プロセスを自動化します。 サイトの管理部分 (管理パネル) をプログラムして、サイト構築にまったく不慣れな人でも、既存のページを追加、削除、編集できるようにします。 サイト上の検索およびすべての購読フォーム (存在する場合) が機能するようにプログラムします。 新しく追加したページがサイト上に表示され、作成したページへのリンクがメニューに自動で表示されるようにしています。 サイトが投票または投票を使用する場合、これもプログラミング段階ですべて PHP でプログラムされます。
たとえば、オンラインストアなどの大規模なサイトをプログラミングする段階を考えると、ここではさらに広く、より興味深いものになります。 この場合、ページだけでなく、オンライン ストアのメイン コンテンツである製品も追加します。 さらに、管理パネルでは、追加された製品をさまざまなカテゴリに分類する必要があります。 また、製品の編集、説明、価格、画像などの変更も可能である必要があります。
さらに、オンラインストアでは、分析システムをプログラミングする必要があります。これにより、管理パネルで、注文と支払いが行われた回数、金額、およびどのカテゴリからどの商品が支払われたかなどを確認できます。さまざまな期間の同様のサマリーを表示できます。 オンライン ストアをプログラミングする場合、多くの場合、会計および税務目的の販売レポートも実装されます。
これが、PHP プログラミング言語フェーズが Web サイト開発において最も重要で、最も長く、最も費用がかかり、高額である理由です。 また、オンライン ストアのプログラミングに対処したことで、ほぼすべての複雑なサイトのスクリプトを作成できるようになります。
PHPの人気
PHP の人気は、サーバー側のプログラミング言語を特定できたすべてのサイトの 83.1% で使用されているという事実によって証明されています。
人気ランキングで 1 位を占める最も人気のある CMS (有料と無料の両方: WordPress、Joomla、Drupal、Modx、Bitrix、Magento など) はすべて PHP プログラミング言語で記述されています。
また、PHP プログラミング言語の人気は、Laravel、Yii、CakePHP、Slim、Zend Framework 2、PHPixie、CodeIgniter、Symfony 2 などの多くの PHP フレームワークによって証明されています。 膨大な数のフォーラムと大規模なコミュニティがあります。一般に、PHP、フレームワークごと、および CMS ごとに個別に存在します。
また、Facebook や Wikipedia などの世界最大のサイトも PHP で作成されていることを付け加えておきます。
PHPの知識があれば稼げる?
PHP の人気を考えると、PHP プログラマーに対する需要は常に高いものです。 PHP の知識があり、この言語でプログラミングできることで、新たな収入の機会を見つけることができます。 今日、実際にお金を稼ぐことができる主なものを見てみましょう。
スクリプトの開発による収益。 すべてのサイトは常に進化しており、定期的に新しいスクリプトを作成したり、追加機能やモジュールなどを開発する必要があります。サイトの所有者は、そのような開発のために PHP 開発者に頼っています。 この場合、次の 2 つの方法で稼ぐことができます。
フリーランスの開発者を見つけるための注文を追跡します。
一括スクリプトのアイデアを生成します。 たとえば、オンラインストアの所有者の間で確実に需要があるスクリプトのアイデアがあれば、そのようなスクリプトを独自に開発してオンラインストアの所有者に販売できます。
「注文する」既製のスクリプトの完成。 ここではすべてが簡単です。スクリプトの改訂または修正を行います。 ただし、この場合、微妙な違いがあります。最初はスクリプトがうまく作成されていない可能性があり、スクリプトを最初から作成するよりも、それを改良するのに時間がかかる場合があります。 したがって、同様の収入方法を使用する場合は、最初に、何を完成させて完了するかを非常に注意深く見てください。
CMS用プラグインの開発。 この方法では、スクリプトでお金を稼ぐ場合とすべてが同じです。 多くの場合、既製の CMS で作成されたサイトでは、何らかのプラグイン、アドオン、または拡張機能を作成する必要があります。 また、ここでは 2 つの方法で稼ぐこともできます。
プラグイン、アドオン、フリーランス拡張機能の開発の注文を追跡します。
ほとんどのサイトで間違いなく需要がある大規模なプラグインを開発して販売します。
所有および共同プロジェクト。 たとえば、特定の問題を解決する便利なサービスやアプリケーションのアイデアなど、インターネット上のプロジェクト (スタートアップ) のアイデアがあれば、それを実装することができます。 初期段階では、本業に加えて趣味としても構いません。 そして、趣味が大きなプロジェクトに成長したことがわかると、より多くの時間をそれに割くことができるようになります。
それらの動的サイトとエンジンの作成。 フリーランサーとして、またはウェブスタジオで働いて、注文するウェブサイトを開発することによっても、かなりのお金を稼ぐことができます.
自分用のウェブサイトを作成します。 自分用のサイトを作成し、有益なコンテンツで満たすことができます。サイトに十分な数の訪問者が集まったら、有料広告を掲載したり、アフィリエイト プログラムを通じて他の人の製品を宣伝したりして、収益を上げ始めます。
上記のすべての収益方法を組み合わせることができるという考えに、多くの人が訪れたと思います。 そして、それは正しいです! 自分で Web サイトを作成し、そこから広告を販売して受動的に稼ぐことができます。また、スクリプトまたはプラグインを作成して専門のサイトで販売し、販売ごとにオートパイロットで収入を得ると同時に、Web スタジオで作業することもできます。 なぜだめですか? はい、そうかもしれません!
PHP開発者はいくら稼ぐことができますか?
PHPプログラマーの収益により、すべてが個別になります。 ここでは、作業場所、作業方法、知識レベル、経験、資格、開発者が持っている関連する追加知識などに大きく依存します。 したがって、原則として、ここに正確な数値はありません。 しかし、Web スタジオで PHP プログラマーを検索したときに提供される給与と、フリーランスの取引所でプロジェクトに支払う意思がある金額を確認できます。
下の画像は、Web スタジオの PHP プログラマーに提案された給与を示しています。 さらに、これらは実務経験のない PHP プログラマーの給与です。
実務経験があれば、もっと稼げます。 以下は、経験のある PHP プログラマーに提供される給与です。
そして、今日のフリーランスでは、まともに稼ぐこともできます:
結論
PHP は、Web 開発者の間で最も人気のあるプログラミング言語です。 インターネット上のすべてのサイトの大部分は PHP で書かれています。 知識があり、このプログラミング言語で開発できると、かなりのお金を稼ぐことができます。お金を稼ぐための多くのオプションがあります-Webスタジオでの作業から、独自のプロジェクト、スタートアップの開発まで.
コンピュータとインターネットの出現により、多くの新しい職業が登場しました。
インターネットを介してさまざまなプロジェクトが立ち上げられているため、現在、プログラミングのスペシャリストが求められています。 したがって、すべての志願者は、コンピューターに関連する専門分野を選択することを検討する必要があります。
PHPの知識でお金を稼ぐには? この記事では、プログラミングの分野の 1 つを検討します。 スクリプト言語は、アプリケーション開発に積極的に使用されています。
このテクノロジーは長年関連しており、PHP を学べば十分なお金を稼ぐことができます。 最も重要なことは、この分野のスペシャリストに対する需要が非常に大きいことです。
PHPプログラマーの年収は?
誰もがさまざまな会社で働いており、自宅で働いている人もいるため、正確な金額を示すことは不可能です. いずれにせよ、アクティブな労働者は良い給料を受け取ります。
快適な自宅で仕事をする人は、注文を完了する時間とまったく同じ量を受け取ります。 ニッチの価格が設定されることはめったになく、ほとんどの場合、個別に交渉されます。
PHP プログラマーとして働く利点のうち、注目に値するのは、その活動の深刻な見通しと関連性です。 インターネットがほぼすべての分野に浸透している現在、プログラマーとして働くことは非常に有益です。
良い: 「メールマガジンによる独自サービスで稼ぐ」 . 33,000ルーブルの閉鎖プールを排水します。 倉庫のレビューはさまざまです。 レビューによると、このコースはすべての人に適しているわけではなく、すでに同様のコースやメーリング リストに遭遇したことがある人にのみ適しています。 送信された資料 匿名ユーザーコメント付き: « そのまま倉庫で出禁になったのでこのコースをお漏らしします。 このレートで、小さなメールに適していることを 1 つ言います。 初心者は何も理解できませんが、習熟度を求めることができます。 レビューは異なります、私はコメントを差し控えました。 大量の手紙を送る方法を学びたい場合は、シェレストに行ってください。彼が助けてくれます。 私は彼と一緒に勉強しましたが、このコースは一般的な開発のためだけに購入しました。 誰かが役に立つことを願っています。» 著作権者の要請により素材を削除することができます! 評価
コースの説明:
独自の著者によるビデオ レッスンのコース メール ニュースレターのクイック スタート テクノロジ - 「潜在的な」顧客に大量のメール レターを送信する方法。 インターネットを介してビジネスを展開する傾向の到来とアクティブなインターネット ユーザーの増加に伴い、初心者から上級者までさまざまなトレーニング コースが登場し始めました。 このコースは、膨大な費用をかけずに効果的にトラフィックと販売を獲得する方法に関心があるすべての人を対象としています. オンライン販売で最も効果的で便利なツールは、電子メールを使用したサービスや商品のプロモーションです (電子メールマーケティング) .
大量のメールを送信するだけでなく、専門的な電子メール マーケティングを組織するには、体系的なアプローチを開発し、購読者ベースを収集し、このプロセスを自動化して安定した利益を増やし、統計を生成し、専門家の助けなしでは完了するのが難しいその他のタスクを作成する必要があります。 このコースでは、メール ニュースレターのクイック スタート テクノロジとして、VDS サーバー経由で手紙を送信することを提案しています. 自分で設定できるのに、メール サービスに大金を払う必要はありません。 そして、大量の手紙で顧客に誰にでも何でも送る機会を得てください。 このコースでは、電子メールを自動的に送信し、プロフェッショナルな電子メール マーケティングを作成するように VDS サーバーをセットアップするのに役立ちます。ユーザーは誰でも、著者のビデオ コースの段階的な指示に従うだけでセットアップを完了できます。 優れたクールなツール! SET の美しさは、それが Python で書かれており、追加でインストールする必要があるサードパーティの Python モジュールを必要としないことです. 作業はインタラクティブなメニューを介して実行されます.各ステップで、メニューには提案されたサブポイントの適切な説明が付随しているため、子供でも処理できます (ここでは少し怖くなります)。ただし、ツールキット自体を調整する必要がある場合もあります。このためには、設定ファイルに目を向ける必要があります。
このコースで学べること:
- メール ニュースレターの vds の設定
- スパムフィルターをバイパスする方法 メールがスパムになってしまう理由
- メールをすばやく簡単に一意化する方法
- アドレスだけでなく、100% 稼働中およびライブの電子メール アドレスを収集する方法
- あなたのターゲットオーディエンスの住所
- SMTPの使い方とSMTPサーバーの立ち上げ方
- 必要なすべてのソフトウェアを入手する
- 手紙を送ってお金を稼ぐ方法、どのアフィリエイトプログラムと連携するか
- テンプレートの生成とその後の VDS サーバーへのアップロード
- メールを抽出し、inurl (readme.txt) をスキャンします
- データベースの作成 - メールの重複のクリーニング、分割、削除