Да, я прошел курс по SQL Injection Master и теперь мое ядро базы данных полным ходом работает на чистом "юморе"! Мои знания на момент начала курса по sql были минимальные, делать простые выборки из базы данных, но этот курс помог мне расширить свои знания и освежить память о том, как работает инъекция SQL.
На курсе была отличная структура, начиная от основных понятий и заканчивая более сложными заданиями и экзаменом. На тасках будет проверяться так же ваши знания веба, искать инфу придется постоянно в исходном коде сайта, и играться с параметрами. Лаборатория по SQL инъекциям была как граната без защитного костюма - нереально взрывная!
Да было сложно, в начале я подумал что дело труба, таски не решались от слова совсем. Но после решения 2-3 заданий все пошло по накатанной. Всегда можно было проконсультироваться с куратором. Так же мне очень помогла коммуникация между ребятами на курсе, им тоже большой поклон.
Я провел в лаборатории SQL инъекций столько времени, что мои руки стали походить на клавиатуру, и мои глаза так привыкли к коду, что я уже начинал видеть SQL команды везде, даже на "яблоки в супермаркете". Все мои планы на выходные смешались с запросами и фильтрами, и админы, в попытке убедить меня, что я всего-лишь человек, говорили про "две часа в день". Не верьте в это, при покупке курса понимайте, что вы будите проводить большинство своего свободного времени здесь. Это особенно касалось - Слепых инъекций и инъекций основанных на времени, в начале на решение такого типа таска уходил чуть ли не целый день.
Это был довольно болезненный процесс, времени уходило крайне много, доставая по символу из базы.
Но чуть позже я справлялся с этим довольно не плохо. После нас научили пользоваться SQLMAP. Понял я одно, что это просто инструмент, вставить таргет и ждать название базы данных не получиться. В большинстве случаев все фильтруется и придется в ручную находить что именно, и применять нужный тампер или же писать свой.
До начала экзамена у меня уже был проходной бал, по этому за это я не переживал, но задания решены были не все, что меня тоже напрягало.
Настал час X , на экзамен дается 24 часа
Было волнительно, думал сейчас залечу и таски будут падать как карточные домики. Но с наскока ничего не получилось. В большинстве была фильтрация символов, слов, запросов и тд. После вдумчивого просмотра задания и подсказок (как же без них) была решена минималка для прохождения экзамена. На сложных тасках были точки входа, но голова в глубокой ночи не соображала. К тому же был блок совсем не решенный на лабе, это меня подкосило, так как именно эта техника использовалась в одном из сложных задач. Экзамен в итоге завершился и я вздохнул с облегчением. У меня еще была неделя для доступа к лаборатории и я позакрывал львиную часть оставшихся задач.
Совет для тех кто собирается идти на курс
1. Создайте стратегию управления временем: Установите жесткие границы и придерживайтесь их.
Часто я отвлекался от занятий, пытаясь чем то оправдаться. Тратил на это весь день, и потом страдал от этого)
2. Планируйте заранее: Воспользуйтесь календарем или планировщиком, чтобы выделить время под курс и другие обязанности.
Это часто выручает меня в жизни
3.Ищите поддержку: Не бойтесь просить помощи у семьи, друзей или коллег. Возможно, они смогут вам помочь в выполнении определенных задач или взять на себя некоторые обязанности.
4. Так же не забывайте про отдых, мозги должны тоже отдыхать иногда.
На этом я заканчиваю свой рассказ об впечатлениях. Выражаю свою благодарность создателям и большое спасибо за поддержку коллег по "цеху".
