selam beyler
diyelim sitede sql injection açığı bulduk.
yönetici panelindede sql injection açığı olabilir.
yani uygun payload'lar(bu durumda sql kodları) sayesinde yönetici bilgilerini bilmeden panele giriş yapabilmekteyiz.
site: http://www.emkatur.com/admin/
payload: 'or' '='
panele giriyorum. tahmin ederek buldum -site.com/admin- diyerek.
veri akışının olduğu yerlere payload'ımı giriyorum.
ve puf içerdeyiz
kaynaklar:
ekstra payload'lar: https://pentestlab.blog/2012/12/24/sql-injection-authentication-bypass-cheat-sheet/
detaylı bilgi: http://www.securityidiots.com/Web-Pentest/SQL-Injection/bypass-login-using-sql-injection.html
türkçe kaynak: http://www.burakavci.com.tr/2014/01/sql-injection-login-bypass.html
diyelim sitede sql injection açığı bulduk.
yönetici panelindede sql injection açığı olabilir.
yani uygun payload'lar(bu durumda sql kodları) sayesinde yönetici bilgilerini bilmeden panele giriş yapabilmekteyiz.
site: http://www.emkatur.com/admin/
payload: 'or' '='
panele giriyorum. tahmin ederek buldum -site.com/admin- diyerek.
veri akışının olduğu yerlere payload'ımı giriyorum.
ve puf içerdeyiz
kaynaklar:
ekstra payload'lar: https://pentestlab.blog/2012/12/24/sql-injection-authentication-bypass-cheat-sheet/
detaylı bilgi: http://www.securityidiots.com/Web-Pentest/SQL-Injection/bypass-login-using-sql-injection.html
türkçe kaynak: http://www.burakavci.com.tr/2014/01/sql-injection-login-bypass.html
Son düzenleme:
