Cyber ​​Security

SQL Injection Nedir?

SQL Injection web uygulamalarında ki en ciddi açıkların başında gelmektedir. Bir uygulamada SQL sorgularına giden parametreleri değiştirerek veri tabanına olmaması gereken bir şey kaydetme veya veri tabanından izinsiz veri çekmeye SQL injection denir. Bu yöntemle veri tabanına veri kaydedilebilir, silinebilir, değiştirebilir, shell atılabilir, tüm veriler sızdırılabilir. Bunun en büyük nedeni girdiyi iyi filtreleyememek ve whitelist yerine blacklist kullanıp bypass edilmesi kolay sistemler ortaya çıkarmaktır 

Ekran Resmi 2018 05 27 04.25.52

Yukarıdaki şekilde gösterildiği üzere saldırgan hedeflediği web sitesi üzerinde SQL enjeksiyonu yapabileceği dinamik yapıdaki web sayfalarının tespitini yaptıktan sonra SQL enjeksiyon yöntemi ile veri tabanı sunucu bilgisayarına veri tabanına erişim yetkisi olan kullanıcı hesaplarıyla ulaşabilir. SQL enjeksiyonu yöntemi ile komutlar çalıştıran saldırgan diğer sunucu ve bilgisayarlara izinsiz bağlanarak arka uç veri tabanında saklanan verileri okuyup, güncelleyip, değiştirebilir veya silebilir.

SQL Injection Çeşitlerinden aşağıda bahsedilmektedir. 

  •  Union Based SQL 

Site url’ine girilen SQL sorgusunun veri tabanı kolon sayısının bulunmasının ardından “union” sözcüğü ile sorgunun derinleştirilmesi ile yapılan SQL injection çeşitidir. Burada 2 farklı “union” ile birleştirildiğinde çıktı verebilmesi için eşit sayıda kolon sayısına sahip olması gerekmektedir. 

  • Blind Based SQL 

Site url’ine girilen SQL sorgusunun veri tabanından gelen cevaba göre şekillendirilmesiyle deneme yanılma yoluyla manuel olarak yapılan SQL injection çeşididir.

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.

Back to top button