← LAB_HOME

DB_OVERSIGHT

DATABASE STATUS READY (100%)
SECURITY LAYER UNSECURED_CONCAT
LAST EXECUTED QUERY SELECT * FROM users;
LAB_ID: SQLI_088

SQLI_EXPLOIT_LAB

Injection SQL : Protocoles d'accès

Ce laboratoire simule des vulnérabilités d'injection SQL dans une base de données relationnelle. Apprenez à manipuler les requêtes pour extraire des données confidentielles ou contourner les authentifications.

Objectif : Comprendre comment une entrée utilisateur non assainie peut altérer la logique du serveur de base de données.

Cible (Victim)

Interface vulnérable : Formulaire de recherche et profil utilisateur.

  • Base de données active (SQLite)
  • Paramètres vulnérables non préparés
  • Reflet des erreurs système (Verbose Errors)
Lancer la Cible

Attaquant (Evil)

Outils d'exploitation automatisés et manuel.

  • Payloads UNION-based & Boolean-based
  • Extraction automatique de schéma
  • Bypass d'authentification par injection
Interface d'Attaque

Défense (Blue Team)

Surveillance des accès DB et requêtes suspectes.

  • Analyseur de syntaxe SQL
  • Détection de mots-clés interdits
  • Audit de performance et requêtes lourdes
Moniteur SOC

Académie (Knowledge)

Manuel complet sur l'injection SQL.

  • Syntaxe & Logique SQL
  • Techniques d'Inference (Blind)
  • Remédiation (Prepared Statements)
Accéder au Cours

Instructions Opérationnelles

  1. Ouvrez l'interface Victim et tentez une recherche simple.
  2. Consultez l'interface Evil pour récupérer des "payloads" d'attaque.
  3. Injectez un payload (ex: UNION SELECT) dans le champ de recherche de la Victime.
  4. Observez l'extraction de données sensibles dans les résultats.
  5. Activez le MODE: SECURE sur la Victime pour voir comment les requêtes préparées bloquent l'attaque.

Actions Système