Преамбула
На объекте КИИ «Завод «Живая сталь и кислород» система видеокадров АСУ ТП была разработана в далёком 2008 году и до текущего момента не подвергалась модернизации. Система представляет из себя набор видеокадров, отображающих параметры работы завода в реальном времени. Кроме того, из интерфейса данной системы осуществляются управляющие воздействия на некоторые приводы систем управления. Оператор, следящий за протеканием процессов, регулярно взаимодействует с приводами, с целью обеспечения оптимального протекания технологических процессов и недопущения аварий. 
Система является клиент-серверной. Серверная часть подразумевает сервер базы данных технологических параметров и сервер авторизации (СУБД – MS Server 2008). 
Рабочее место оператора – рабочая станция под управлением ОС Windows XP с установленным программным обеспечением «Видеокадры АСУ ТП».
Авторизация в программе «Видеокадры АСУ ТП» осуществляется путём отправки на сервер авторизации введённых оператором логина/пароля. При наличии информации о пользователе в базе данных, разрешается дальнейшее использование ПО.
Для удобства администрирования пользователей ПО, была разработана форма регистрации пользователей. При регистрации через форму информация о вновь созданном пользователе отправляется во временную область хранения (вспомогательная таблица в БД), из которой администратор системы берёт информацию и при допуске определенного сотрудника к эксплуатации ПО заносит информацию о нём в таблицу “users”.
С недавних пор появилась необходимость заносить дополнительный комментарий при регистрации пользователя через форму (номер локального нормативного документа, подтверждающего допуск сотрудника к эксплуатации ПО). Так как разработчик системы давно ушёл с рынка, программное обеспечение дорабатывали собственными силами. Ввод в эксплуатацию проводился без надлежащих проверок.
Задача
Специалист по ИБ должен знать не только как защититься при возникновении угрозы, но и знать как злоумышленник может реализовать угрозу. SQL-инъекции – один из распространённых способов взлома сайтов и программ, работающих с базами данных, основанный на внедрении в запрос произвольного SQL-кода.
Задание: необходимо осуществить взаимодействия с базой данных системы используя уязвимости в программном коде программе «Видеокадры АСУ ТП». 
Задачи: 
*	Удалить всех пользователей из таблицы “users” базы данных.
*	Найти парольную строку в таблице “data”, занести парольную строку в таблицу “flags”.
*	Создать нового пользователя в таблице “users” с логином “adam”, паролем “eva”, вашим ФИО и комментарием из парольной строки из задачи 2.

Взаимодействие с базой данных производить только с использованием ПО «Видеокадры АСУ ТП». 
На рабочем столе виртуальной машины присутствует папка «Материалы», пользование которой допускается.
Самопроверку выполнения задания можно осуществить, нажав на кнопку «Вход» в главном окне ПО «Видеокадры АСУ ТП».
Перед началом выполнения задания рекомендуется сделать снапшот виртуальной машины.
Для возможности самостоятельного сброса базы данных к исходным параметрам участником предусмотрена кнопка в главном окне программы «Видеокадры АСУ ТП».
Для удобства участника предусмотрена кнопка вывода SQL-инъекций, которые участник вводил при текущем запуске программы «Видеокадры АСУ ТП»