SQL Bypass
Siteyi hacklerken ki amacımız genellikle yönetimi ele geçirmeye yönelik olur, dolayısıyla admin panellerine brute force saldırısı yaparız fakat her zaman olumlu sonuç alamayız. İşte burada SQL bypass bize yardım ediyor. Sitede kullanıcıdan alınan verilerin çakışmasıyla oluşan SQL Bypass açığı verilen payload’ın sitede user pass kısmına girilmesiyle sitenin aklını karıştırarak admin paneline giriş yapma tekniğidir.
Bunu yapmak için önce hedef sitenin admin panelini bulmamız gerekiyor. Bulduktan sonra kullanıcı adı kısmına ‘=’ ‘OR’ şifre kısmına ‘=’ ‘OR’ giriyoruz ve giriş yap tuşuna basarak şansımızı deniyoruz. Eğer sitede bahsettiğim güvenlik açığı varsa admin paneline girebilirsiniz. Eğer yoksa büyük ihtimal “Kullanıcı adı veya şifre hatalı” uyarısını alırsınız.
SQL İnjection
SQL injection güvenlik açığını saptamak çok kolaydır, bu açığı kullanarak hedef sitenin database (veritabanı) bilgilerini elde edebilirsiniz. Aynı SQL Bypass gibi, kullanıcıdan alınan verilerin çakışması sonucu oluşan bir güvenlik açığıdır.
Öncelikle sitenin kategorilerini gezin, eğer bir ürün mağazasıysa ürünlerinin bulunduğu linkleri açın. Eğer linklerin sonunda id= gibi değer var ise o linkin sonuna tek tırnak ‘ koyup enter tuşuna basın, karşınıza SQL error gibi yazılar çıkar ise o sitede SQL injection var demektir. Database bilgilerini çekmek için SQLMAP, JSQL, HAVİJ kullanabilirsiniz.
Siteyi hacklerken ki amacımız genellikle yönetimi ele geçirmeye yönelik olur, dolayısıyla admin panellerine brute force saldırısı yaparız fakat her zaman olumlu sonuç alamayız. İşte burada SQL bypass bize yardım ediyor. Sitede kullanıcıdan alınan verilerin çakışmasıyla oluşan SQL Bypass açığı verilen payload’ın sitede user pass kısmına girilmesiyle sitenin aklını karıştırarak admin paneline giriş yapma tekniğidir.
Bunu yapmak için önce hedef sitenin admin panelini bulmamız gerekiyor. Bulduktan sonra kullanıcı adı kısmına ‘=’ ‘OR’ şifre kısmına ‘=’ ‘OR’ giriyoruz ve giriş yap tuşuna basarak şansımızı deniyoruz. Eğer sitede bahsettiğim güvenlik açığı varsa admin paneline girebilirsiniz. Eğer yoksa büyük ihtimal “Kullanıcı adı veya şifre hatalı” uyarısını alırsınız.
SQL İnjection
SQL injection güvenlik açığını saptamak çok kolaydır, bu açığı kullanarak hedef sitenin database (veritabanı) bilgilerini elde edebilirsiniz. Aynı SQL Bypass gibi, kullanıcıdan alınan verilerin çakışması sonucu oluşan bir güvenlik açığıdır.
Öncelikle sitenin kategorilerini gezin, eğer bir ürün mağazasıysa ürünlerinin bulunduğu linkleri açın. Eğer linklerin sonunda id= gibi değer var ise o linkin sonuna tek tırnak ‘ koyup enter tuşuna basın, karşınıza SQL error gibi yazılar çıkar ise o sitede SQL injection var demektir. Database bilgilerini çekmek için SQLMAP, JSQL, HAVİJ kullanabilirsiniz.
