एसक्यूएल इंजेक्शन के क्या है?

साइटों और वेब पर पृष्ठों की संख्या लगातार बढ़ रही है। उन सभी जो कर सकते हैं के विकास के लिए ले ली। और नौसिखिया वेब डेवलपर्स अक्सर असुरक्षित और पुराने कोड का उपयोग करें। और यह अपराधी और हैकर के लिए खामियों का एक बहुत बनाता है। की तुलना में वे कर रहे हैं। एसक्यूएल इंजेक्शन - सबसे क्लासिक कमजोरियों में से एक।

सिद्धांत का एक बिट

बहुत से लोग जानते हैं कि नेटवर्क पर साइट और सेवाओं के बहुमत SQL डेटाबेस संग्रहण का उपयोग कर रहे हैं। यह एक है संरचित क्वेरी भाषा है कि आप को नियंत्रित करने और आंकड़ों के भंडारण प्रबंधन करने के लिए अनुमति देता है। ओरेकल, MySQL, Postgre - डेटाबेस प्रबंधन प्रणाली डेटाबेस के कई अलग अलग संस्करण हैं। नाम और प्रकार के बावजूद, वे एक ही क्वेरी डेटा का उपयोग करें। ऐसा नहीं है कि संभावित असुरक्षा निहित है यहाँ है। सभी साइट प्रबंधन के लिए और - डेवलपर ठीक से संभाल और सुरक्षित रूप से अनुरोध करने के लिए विफल रहा है, तो एक हमलावर इस का लाभ उठाने और डेटाबेस में पहुँच प्राप्त करने, और फिर विशेष रणनीति का उपयोग कर सकते हैं।

ऐसी स्थितियों से बचने के लिए, आप ठीक ढंग से कोड का अनुकूलन करने और बारीकी से एक जिस तरह से एक अनुरोध संसाधित किया जा रहा है में नजर रखने के लिए की जरूरत है।

एसक्यूएल इंजेक्शन के लिए जाँच करें

नेटवर्क में एक असुरक्षा की उपस्थिति स्थापित करने समाप्त हो गया स्वचालित सॉफ्टवेयर सिस्टम का वजन है। लेकिन यह मैन्युअल रूप से एक सरल जांच बाहर ले जाने के लिए संभव है। ऐसा करने के लिए परीक्षण साइटों में से एक के पास जाकर पता बार में एक डेटाबेस त्रुटि पैदा करने के लिए प्रयास करने के लिए। उदाहरण के लिए, साइट पर एक स्क्रिप्ट अनुरोध नहीं संभाल कर सकते हैं और उन्हें ट्रिम नहीं है।

उदाहरण के लिए, / index.php वहाँ nekiy_sayt? id = 25

सबसे आसान तरीका है - बोली के बाद 25 डाल दिया और अनुरोध भेजने के लिए। यदि कोई त्रुटि हुई है, या तो साइट और फिल्टर पर सभी अनुरोधों को सही ढंग से नियंत्रित किया जाता है, या उनके उत्पादन की सेटिंग में अक्षम है। एक पेज की समस्याओं के साथ पुनः लोड है, तो एसक्यूएल इंजेक्शन के लिए जोखिम है।

बाद उसे पता चला, तो आप इसे से छुटकारा पाने की कोशिश कर सकते।

इस जोखिम के बारे में थोड़ा जानना करने की आवश्यकता पर लागू करने के लिए एसक्यूएल-प्रश्नों टीमों। उनमें से एक - यूनिअन। यह एक में कई क्वेरी परिणाम एक साथ लाता है। तो हम तालिका में खेतों की संख्या की गणना कर सकते हैं। उदाहरण पहली क्वेरी है:

• nekiy_sayt / index.php? id = 25 यूनिअन का चयन करें 1।

ज्यादातर मामलों में, इस रिकॉर्ड एक त्रुटि उत्पन्न करनी चाहिए। इसका मतलब है कि फ़ील्ड की संख्या, इस प्रकार 1. के बराबर नहीं है 1 या अधिक से अधिक विकल्प चुनने, यह उनकी सही संख्या की स्थापना के लिए संभव है:

• nekiy_sayt / index.php? id = 25 यूनिअन चयन 1,2,3,4,5,6।

यही कारण है कि इसका मतलब है कि फ़ील्ड की संख्या का अनुमान लगाना, है, जब त्रुटि प्रदर्शित नहीं होगा।

वहाँ भी इस समस्या के लिए एक विकल्प समाधान है। उदाहरण के लिए, जब खेतों की एक बड़ी संख्या - 30, 60 या 100 यह आदेश ग्रुप द्वारा। यह समूह किसी भी आधार पर एक प्रश्न है, उदाहरण के लिए आईडी के परिणाम:

• nekiy_sayt / index.php? id = 25 ग्रुप 5 से।

त्रुटि प्राप्त नहीं हुआ है, तो तुलना क्षेत्रों अधिक 5. इस प्रकार, एक काफी व्यापक रेंज से विकल्पों का प्रतिस्थापन, यह संभव वास्तव में उनमें से कितने गणना करने के लिए है।

इस उदाहरण एसक्यूएल इंजेक्शन - शुरुआती जो खुद अपनी साइट के परीक्षण में कोशिश करना चाहते हैं के लिए। यह याद रखना महत्वपूर्ण है कि आपराधिक संहिता की एक और उपलब्ध लेख को अनधिकृत पहुँच के लिए महत्वपूर्ण है।

इंजेक्शन के मुख्य प्रकार

कई embodiments में एसक्यूएल इंजेक्शन द्वारा जोखिम को लागू करें। अगला सबसे लोकप्रिय तरीके हैं:

• यूनिअन क्वेरी एसक्यूएल इंजेक्शन। इस प्रकार का एक सरल उदाहरण पहले से ही ऊपर की जांच की जा चुकी है। यह आने वाले डेटा है, जो फ़िल्टर नहीं किया जाता जाँच में किसी त्रुटि के कारण महसूस किया है।

• त्रुटि आधारित एसक्यूएल इंजेक्शन। नाम से स्पष्ट है, इस प्रकार के भी एक त्रुटि का उपयोग करता है, वाक्य रचना गलत बना भाव भेज दिया। तो फिर वहाँ प्रतिक्रिया हेडर, विश्लेषण जो बाहर बाद में एसक्यूएल इंजेक्शन किया जा सकता है के अवरोधन है।

• स्टैक किया गया SQL क्वेरी इंजेक्शन। इस कमजोरी का फायदा लगातार अनुरोध प्रदर्शन से निर्धारित होता है। यह संकेत के अंत में इसके अलावा की विशेषता है ","। यह दृष्टिकोण अक्सर अगर विशेषाधिकार यह अनुमति देते हैं, पढ़ सकते हैं और डेटा लिखने या ऑपरेटिंग सिस्टम कार्यों के कार्यान्वयन का उपयोग करने के कार्यान्वित किया जाता है।

खोज एसक्यूएल-कमजोरियों के लिए सॉफ्टवेयर

एसक्यूएल इंजेक्शन के लिए नहीं है, कार्यक्रम आम तौर पर दो घटक है - एक साइट संभव कमजोरियों के लिए स्कैन और डेटा तक पहुंच हासिल करने के लिए उन्हें का उपयोग करें। वहाँ लगभग सभी ज्ञात प्लेटफार्मों के लिए कुछ उपकरण हैं। उनकी कार्यक्षमता बहुत वेबसाइट की जाँच के अपने एसक्यूएल इंजेक्शन दरार करने की सुविधा।

sqlmap

बहुत शक्तिशाली स्कैनर है कि सबसे डेटाबेस के साथ काम करता है। यह एसक्यूएल इंजेक्शन के कार्यान्वयन के विभिन्न तरीके का समर्थन करता है। यह स्वचालित रूप से पासवर्ड हैश खुर और शब्दकोश के प्रकार के पहचान करने की क्षमता है। वर्तमान और कार्यात्मक फाइल अपलोड और एक सर्वर से डाउनलोड।

लिनक्स पर स्थापना आदेशों का उपयोग करते किया जाता है:

• Git क्लोन https://github.com/sqlmapproject/sqlmap.git sqlmap-देव,
• cdsqlmap-देव /,
• ./sqlmap.py --wizard।

Windows के लिए कमांड लाइन और ग्राफिकल यूजर इंटरफेस के साथ एक विकल्प के रूप में उपलब्ध है।

jSQL इंजेक्शन

jSQL इंजेक्शन - एसक्यूएल कमजोरियों का उपयोग परीक्षण के लिए एक पार मंच उपकरण। जावा में लिखा है, ताकि सिस्टम JRE स्थापित किया जाना चाहिए। प्राप्त अनुरोध, पोस्ट, शीर्षक, कुकी को संभालने में सक्षम। यह एक सुविधाजनक ग्राफिकल इंटरफेस है।

इस सॉफ्टवेयर पैकेज की स्थापना इस प्रकार है:

wget https://github.com/`curl -s https: //github.com/ron190/jsql-injection/releases | ग्रेप ई -ओ '/ron190/jsql-injection/releases/download/v[0-9]{1,2}.[0-9]{1,2}/jsql-injection-v[0-9] । {1,2} [0-9] {1,2} .jar '| सिर-एन 1`

शुभारंभ जार ./jsql-injection-v*.jar आदेश जावा का उपयोग करना है

आदेश एसक्यूएल-जोखिम पर परीक्षण स्थल शुरू करने के लिए, आप शीर्ष क्षेत्र में पता दर्ज करना होगा। वे मिल और पोस्ट के लिए अलग कर रहे हैं। एक सकारात्मक परिणाम के साथ, उपलब्ध तालिकाओं की सूची छोड़ दिया विंडो में दिखाई देगा। आप उन्हें देख सकते हैं और कुछ गोपनीय जानकारी सीख सकते हैं।

टैब «व्यवस्थापक पृष्ठ» प्रशासनिक पैनल लगाने के लिए इस्तेमाल किया। पर यह विशेष टेम्पलेट्स के माध्यम से स्वचालित रूप से सिस्टम विशेषाधिकार प्राप्त उपयोगकर्ताओं रिकॉर्ड खोज करता है। उन लोगों से आप पासवर्ड का सिर्फ एक हैश मिल सकती है। लेकिन वह कार्यक्रम के पिटारे में है।

सभी कमजोरियों और इंजेक्शन आवश्यक पूछताछ खोजने के बाद, उपकरण सर्वर अपनी फ़ाइल में भरने या, इसके विपरीत, वहां से डाउनलोड करने की अनुमति देगा।

SQLi डम्पर v.7

इस कार्यक्रम - आसान खोजने और एसक्यूएल कमजोरियों को लागू करने के लिए उपकरण का उपयोग करने के लिए। यह संयुक्त राष्ट्र के तथाकथित Dorcas पर आधारित है पैदा करता है। उनकी सूची इंटरनेट पर पाया जा सकता है। एसक्यूएल इंजेक्शन के लिए Dorca - इन खोज प्रश्नों की विशेष टेम्पलेट्स कर रहे हैं। उनकी मदद के साथ, आप किसी भी खोज इंजन के माध्यम से संभावित रूप से कमजोर साइट पा सकते हैं।

प्रशिक्षण के लिए उपकरण

Itsecgames.com साइट पर वहाँ उपकरणों की एक विशेष सेट कि उदाहरण दिखाता है कि एसक्यूएल इंजेक्शन करते हैं और इसे परीक्षण करने के लिए अनुमति देता है। आदेश के लाभ के लिए में, यह डाउनलोड करने और स्थापित करने के लिए आवश्यक है। संग्रह फ़ाइलों का एक सेट है, जो साइट की संरचना होती है। स्थापित करने के लिए यह Apache वेब सर्वर, MySQL और PHP के सेट की मौजूदा प्रणाली में की आवश्यकता होगी।

एक वेब सर्वर फ़ोल्डर में संग्रह को अनपैक करने पर आपको पता है जब यह स्थापित करने में प्रवेश किया जाना है सॉफ्टवेयर। उपयोगकर्ता पंजीकरण के साथ एक पेज। यहाँ आप अपनी जानकारी दर्ज करें और क्लिक «बनाएं» की जरूरत है। एक नए स्क्रीन करने के लिए उपयोगकर्ता आगे बढ़ते, प्रणाली परीक्षण मामलों में से एक को चुनने के लिए संकेत देता है। उनमें से दोनों इंजेक्शन, और कई अन्य परीक्षण आइटम द्वारा वर्णित नहीं है।

यह की एसक्यूएल इंजेक्शन प्रकार प्राप्त / खोज एक उदाहरण पर विचार के लायक है। यहाँ आप इसे चुनें और «हैक» क्लिक करना होगा। इससे पहले कि उपयोगकर्ता दिखाई देगा, और किसी मूवी साइट का खोज स्ट्रिंग नकली। क्रमबद्ध करने के लिए फिल्में लंबी हो सकती है। लेकिन वहाँ केवल 10 उदाहरण के लिए कर रहे हैं, आप आयरन मैन में प्रवेश करने की कोशिश कर सकते हैं। यह फिल्म है, तो साइट काम करता है, और टेबल इसमें दिखाई देगा। अब हम विशेष रूप से बोली में, अगर विशेष वर्ण स्क्रिप्ट फिल्टर की जाँच करने के लिए है। ऐसा करने के लिए, पता बार में 'जोड़ें। " इसके अलावा, इस फिल्म के शीर्षक के बाद किया जाना चाहिए। साइट एक त्रुटि त्रुटि दे देंगे: आप अपने एसक्यूएल वाक्य रचना में एक त्रुटि है, मैनुअल है कि सही वाक्य रचना के पास '%' 'पंक्ति 1, जिसमें कहा गया है कि पात्रों अभी भी ठीक से समाधान नहीं कर रहे हैं पर उपयोग करने के लिए अपने सर्वर संस्करण से मेल खाती है की जाँच करें। तो आप अपने अनुरोध स्थानापन्न करने की कोशिश कर सकते हैं। लेकिन हम पहले खेतों की संख्या की गणना करना चाहिए। और कार्रवाई = खोज - द्वारा 2 http://testsites.com/sqli_1.php?title=Iron+Man 'आदेश: यह इस आदेश को, जो उद्धरण के बाद शुरू की है के लिए प्रयोग किया जाता है।

यह आदेश केवल फिल्म, कि है, फ़ील्ड की संख्या 2. से अधिक डबल हाइफन सर्वर है कि अन्य अनुरोध खारिज कर दिया जाना चाहिए बताता है के बारे में जानकारी प्रदर्शित करता है। अब हम, सुलझाने के लिए है जब तक कि त्रुटि मुद्रित नहीं है बढ़ते महत्व डाल। अंत में, यह पता चला है कि खेतों 7 हो जाएगा।

अब यह आधार से बाहर कुछ उपयोगी प्राप्त करने के लिए समय है। थोड़ा अनुरोध पता पट्टी में, संशोधित करेगा यह एक रूप में लाने:) उपयोगकर्ता (http://testsites.com/sqli_1.php?title=Iron+Man 'संघ का चयन 1, डेटाबेस (,), 4, पासवर्ड, 6, 7 उपयोगकर्ताओं से - और कार्रवाई = खोज। इसके कार्यान्वयन पासवर्ड हैश, जो आसानी से ऑनलाइन सेवाओं में से एक का उपयोग कर समझा जा सकता प्रतीकों में बदला जा सकता के साथ स्ट्रिंग प्रदर्शित होगा की एक परिणाम के रूप में। एक एक छोटे से conjured और एक लॉगिन के साथ एक फ़ील्ड नाम उठाया, तो आप इस तरह के साइट के व्यवस्थापक के रूप में, किसी और के प्रवेश के लिए पहुँच प्राप्त कर सकते हैं।

उत्पाद एक वजन प्रजातियों इंजेक्शन प्रकार, जिस पर अभ्यास करने के लिए है। यह याद रखा जाना चाहिए वास्तविक साइटों पर नेटवर्क में इन कौशल के आवेदन एक अपराध हो सकता है।

इंजेक्शन और PHP

एक नियम, पीएचपी-कोड और के रूप में उपयोगकर्ता से आ रही आवश्यक प्रसंस्करण अनुरोधों के लिए जिम्मेदार है। इसलिए, इस स्तर पर आप PHP में एसक्यूएल इंजेक्शन के खिलाफ प्रतिरोधक के निर्माण की जरूरत है।

सबसे पहले, के आधार यह आवश्यक है, जिनमें से ऐसा करने के लिए पर, कुछ सरल दिशा निर्देशों दे।

• डाटा हमेशा डेटाबेस में रखा जा रहा से पहले संसाधित किया जाना चाहिए। यह या तो, मौजूदा भाव का उपयोग करके या मैन्युअल रूप से प्रश्नों का आयोजन करके किया जा सकता है। यहां भी, खाते है कि संख्यात्मक मान प्रकार है कि जरूरत है परिवर्तित कर रहे हैं में रखना चाहिए;
• बचा विभिन्न नियंत्रण संरचनाओं लिए प्रेरित किया।

अब MySQL में प्रश्नों का संकलन एसक्यूएल इंजेक्शन के खिलाफ की रक्षा के नियमों के बारे में थोड़ा।

क्वेरी करने के लिए किसी भी भाव ड्राइंग में यह एसक्यूएल कीवर्ड के डेटा को अलग करने के लिए महत्वपूर्ण है।

• चुनें * मेज कहां नाम = Zerg से।

इस विन्यास में, प्रणाली सोच सकते हैं कि Zerg - किसी भी क्षेत्र के नाम पर है, तो आप उद्धरण में यह संलग्न करने की जरूरत है।

• चुनें * मेज से कहां नाम = 'Zerg'।

पर, कई बार कर रहे हैं जब मान के उद्धरण शामिल हैं।

• चुनें * मेज से कहां नाम = 'कोटे डी आइवर'।

यहाँ केवल आइवरी का हिस्सा संभाल, और बाकी एक टीम है, जो जाहिर है, नहीं के रूप में माना जा सकता है। इसलिए, एक त्रुटि उत्पन्न होती है। तो फिर तुम स्क्रीनिंग डेटा इस तरह की जरूरत है। ऐसा करने के लिए, बैकस्लैश का उपयोग - \।

• चुनें * मेज से कहां नाम = 'बिल्ली-घ \ आइवर'।

उपरोक्त सभी पंक्तियों को दर्शाता है। कार्रवाई एक संख्या के साथ जगह लेता है, तो यह किसी भी उद्धरण या स्लैश जरूरत नहीं है। हालांकि, वे जबरन इच्छित डेटा प्रकार के लिए नेतृत्व करने के लिए आवश्यक होना चाहिए।

वहाँ सिफारिशों कि फ़ील्ड नाम backquotes में सीमित होने चाहिए रहे हैं। यह प्रतीक, कीबोर्ड के बाईं ओर स्थित है एक टिल्ड के साथ "~"। यह सुनिश्चित करना है कि MySQL के सही रूप में आपके कीवर्ड से फ़ील्ड का नाम भेद सकता है।

डेटा के साथ गतिशील काम

अक्सर, डेटाबेस प्रश्नों का उपयोग कर, गतिशील रूप से उत्पन्न से कोई भी डेटा प्राप्त करने के लिए। उदाहरण के लिए:

• चुनें * मेज से कहां संख्या = '$ संख्या'।

इधर, चर $ संख्या फ़ील्ड का मूल्य निर्धारित करने के रूप में पारित कर दिया है। क्या होगा अगर यह कोटे डी आइवर 'हो जाता है? त्रुटि।

इस मुसीबत से बचने के लिए, ज़ाहिर है, आप "मैजिक कोट" सेटिंग्स में शामिल कर सकते हैं। लेकिन अब डेटा जांच की जाएगी जहां आवश्यक और आवश्यक नहीं। इसके अलावा, यदि कोड हाथ से लिखा है, आप सिस्टम में ही खुर के लिए प्रतिरोधी बनाने के लिए थोड़ा और समय बिता सकते हैं।

एक स्लेश के स्वतंत्र अलावा के लिए mysql_real_escape_string उपयोग कर सकते हैं।

$ संख्या = mysql_real_escape_string ($ संख्या);

$ वर्ष = mysql_real_escape_string ($ वर्ष);

$ क्वेरी = "तालिका में डालने (संख्या, साल, वर्ग) मूल्यों ( '$ नंबर', '$ साल', 11)"।

हालांकि कोड और मात्रा में वृद्धि हुई है, अभी तक संभवतः यह ज्यादा सुरक्षित काम करेगा।

प्लेसहोल्डर

प्लेसहोल्डर - मार्कर का एक प्रकार है, जिसके लिए प्रणाली की मान्यता है कि इस जगह को आप एक विशेष समारोह स्थानापन्न करने की जरूरत है। उदाहरण के लिए:

$ ऊबाना = $ mysqli-> तैयार ( "का चयन जिला नंबर से कहां नाम =?");

$ Sate-> bind_param ( "एस", $ संख्या);

$ Sate-> निष्पादित ();

कोड के इस खंड एक प्रशिक्षण अनुरोध टेम्पलेट लेता है और फिर चर संख्या बांधता है, और यह निष्पादित करता है। यह दृष्टिकोण आप क्वेरी प्रसंस्करण और इसके कार्यान्वयन को विभाजित करने की अनुमति देता है। इस प्रकार, यह दुर्भावनापूर्ण कोड के उपयोग से बचाया जा सकता है SQL- हैं।

क्या हो सकता है कि किसी हमलावर

संरक्षण प्रणाली - एक बहुत ही महत्वपूर्ण कारक है, जो उपेक्षित नहीं किया जा सकता। बेशक, एक साधारण व्यवसाय कार्ड साइट बहाल करने के लिए आसान हो जाएगा। और अगर यह एक बड़ा पोर्टल, सेवा, मंच है? यदि आप सुरक्षा के बारे में नहीं लगता है कि परिणाम क्या हैं?

सबसे पहले, एक हैकर दोनों आधार की अखंडता को तोड़ने के लिए और यह पूरी तरह से हटा सकते हैं। और अगर साइट व्यवस्थापक या होस्टर एक बैकअप नहीं है, तो आप कठिन समय होगा। इन सबसे ऊपर, एक घुसपैठिए, एक ही साइट खुर, अन्य एक ही सर्वर में तैनात करने के लिए जा सकते हैं।

अगला आगंतुकों की निजी सूचनाओं की चोरी है। कैसे उपयोग करने के लिए - सब कुछ केवल एक हैकर की कल्पना द्वारा सीमित है। लेकिन किसी भी मामले में, परिणाम बहुत ही सुखद नहीं होगा। खास तौर पर अगर वित्तीय जानकारी नहीं है।

इसके अलावा, हमलावर डेटाबेस खुद मर्ज कर सकते हैं और उसके बाद अपनी वापसी के लिए धन उगाही।

साइट व्यवस्थापक की ओर से गलत सूचना उपयोगकर्ताओं, वे व्यक्ति नहीं किया जा रहा है, यह भी संभव धोखाधड़ी तथ्यों के रूप में नकारात्मक परिणाम हो सकता है।

निष्कर्ष

इस लेख में सभी जानकारी केवल जानकारी के लिए प्रदान की जाती है। यह केवल जब यह कमजोरियों का पता लगाता है अपनी परियोजनाओं का परीक्षण करने और उन्हें सुलझाने की जरूरत है का उपयोग करें।

कैसे एसक्यूएल इंजेक्शन का संचालन करने की तकनीक का एक और अधिक में गहराई से अध्ययन के लिए, यह वास्तविक अनुसंधान क्षमताओं और एसक्यूएल भाषा की सुविधाओं के साथ शुरू करने के लिए आवश्यक है। संकलित प्रश्नों, कीवर्ड, डेटा प्रकार, और यह सब के उपयोग के रूप में।

इसके अलावा PHP और HTML तत्वों कार्यों के संचालन को समझने के बिना नहीं कर सकते। प्राथमिक उपयोग इंजेक्शन के लिए कमजोर अंक - एक पते लाइन, और विभिन्न खोज क्षेत्र। पीएचपी कार्यों सीखना, कार्यान्वयन और सुविधाओं के विधि यह पता लगाने जाएगा गलतियों से बचने के लिए कैसे।

कई पहले से तैयार सॉफ्टवेयर उपकरणों की मौजूदगी साइट ज्ञात कमजोरियों पर गहराई से विश्लेषण के लिए अनुमति देते हैं। सबसे लोकप्रिय उत्पादों में से एक - काली linux। एक लिनक्स आधारित ऑपरेटिंग सिस्टम है, जो उपकरण और प्रोग्राम हैं जो बाहर साइट ताकत का व्यापक विश्लेषण ले जा सकता है की एक बड़ी संख्या में शामिल है, की छवि।

क्या आप को पता है की साइट हैक करने के लिए कैसे की ज़रूरत है? यह बहुत ही सरल है - यह अपनी परियोजना या वेबसाइट के संभावित कमजोरियों के बारे में पता होना जरूरी है। खास तौर पर अगर यह ऑनलाइन भुगतान, जहां भुगतान उपयोगकर्ता डेटा एक हमलावर से समझौता किया जा सकता है के साथ एक ऑनलाइन स्टोर है।

मौजूदा जानकारी सुरक्षा कर्मियों की पेशेवर अध्ययन के लिए मानदंड और गहराई की एक किस्म के लिए साइट की जाँच करने के लिए सक्षम हो जाएगा। एक साधारण HTML-इंजेक्शन से और सामाजिक इंजीनियरिंग और फ़िशिंग के लिए शुरू।