Démonstration d'attaques via SQL Injection
Bienvenue sur ce site de démonstration pour les personnes ayant suivies SUSI / MySUSI La base de données ne contient aucune donnée sensible et importante.
Il y a 4 utilisateurs déclarés dans cette base: Admin, Demo, Pierre et Paul. Le mot de passe est le même pour tous soit: password
Liste des attaques
Connexion sans nom d'utilisateur ni mot de passe : Mettre dans le champ username la valeur ' OR 1=1#
Trouver des login dans la table : mettre dans le champ username la valeur x' OR login LIKE '%p%'# et remplacer le paramètre %p% avec les premières lettres d'identifiants existants ou pas : ex %z% ou %zo%
Trouver le nom d'une table : mettre dans le champ username la valeur x' AND 1=(SELECT COUNT(*) FROM tablename); # et remplacer la valeur tablename par des noms de tables fréquemment utilisés (users par exemple).