Blog Liesbeth Holterman: ‘Ik leer hacken’ – Week 5
Deze hernieuwde realiteitszin zet ik door bij de Correspondent: ik sluit me alleen nog maar aan bij wannabe-wannabe’s om te leren hacken, de rest is way out of my league. Met twee anderen besluit ik aan de slag te gaan met een SQL basiscursusje. Deze is vrij verkrijgbaar in verschillende niveaus op codeacademy.com.
Applicaties die informatie in een database opslaan maken vaak gebruik van SQL om met de database te communiceren. Denk bijvoorbeeld aan websites waar je (persoons)gevens in verschillende velden in moet vullen. SQL is dus eigenlijk gewoon een taal voor het ordenen van data, een soort Excell. Je hebt basiskennis van SQL nodig om SQL-injecties toe te passen. In gewone mensentaal betekent een SQL-injectie dat je commando’s geeft, oftewel vragende queries toepast, op plekken waar je eigenlijk alleen data hoort in te voeren. Een gevolg is dat de database onbedoeld informatie geeft waar je als hacker wat aan hebt: wachtwoorden of andere informatie die op een server staat. Ik laat me vertellen door de mensen die er verstand van hebben dat ook goed beveiligde databases wel te kraken zijn. Ook schijn je via de URL veel te kunnen manipuleren (lees ook het artikel dat Dimitri Tokmetzis hier over schreef voor De Correspondent).
Eerst maar eens oefenen. De basis van SQL gaat ons groepje goed af. We besluiten dat we er klaar voor zijn om daadwerkelijk met SQL-injecties te oefenen. Op de Damm Vulnerable Web Application (zie vorig blog) heb je hier testjes voor. Ondanks dat we de oefening op ‘makkelijk’ zetten lukt het ons niet de database te ‘kraken’ met commando’s die we geven (te vinden op een SQL cheat sheet), terwijl een andere wannabe het ons met gemak voordoet. Theorie en praktijk blijken in mijn geval nog (te) ver uit elkaar te liggen…
