Merhaba SpyHackerz Ailesi,
Bugün açıcağım konu SQL Enjeksiyonu nedir ne işe yarar bunlar hakkında geniş bir anlatım yapıcağım.Uzatmadan Konuya geçiyorum...
İlk olarak SQL Nedir ondan bahsedeceğim,SQL (Structured Query Language – Yapılandırılırmış Sorgu Dili) kavramı, bir nevi veritabanı yönetimini ifade eder. Burada amaç verileri yönetebilmek ve tasarlayabilmektir. Esasen SQL bir programlama dili olmasa bile pek çok kişi tarafından bu şekilde kabul görür. SQL aracılığıyla sadece veritabanı üstünden işlem gerçekleştirilir. Genel anlamda SQL kurulumu bir hayli zordur ve hatta kurulumu kadar kaldırılması da bir hayli teknik bir konudur.
SQL tanımını az da olsa anladıysak asıl konumuza gelelim...
SQL Enjeksiyonu
SQL enjeksiyonu , kötü amaçlı SQL ifadelerinin yürütmek üzere bir giriş alanına eklendiği (örneğin, veritabanı içeriğini saldırgana aktarmak için) veri odaklı uygulamalara saldırmak için kullanılan bir kod enjeksiyon tekniğidir . SQL enjeksiyonu , bir uygulamanın yazılımında, örneğin, kullanıcı girişi ya SQL ifadelerinde gömülü olan dize değişmez kaçış karakterleri için hatalı bir şekilde filtrelendiğinde veya kullanıcı girişi kesinlikle yazılmadığında ve beklenmedik şekilde yürütüldüğünde , güvenlik açığından yararlanmalıdır . SQL enjeksiyonu çoğunlukla web siteleri için bir saldırı vektörü olarak bilinir, ancak her çeşit SQL veritabanına saldırmak için kullanılabilir.
SQL enjeksiyon saldırıları, saldırganların kimliğe bürünmesine, mevcut verilerle kurcalanmasına, işlemleri iptal etme veya bakiyeleri değiştirme gibi reddedilme sorunlarına neden olmalarına, sistemdeki tüm verilerin açıklanmasına izin vermelerine, verileri imha etmelerine veya kullanılamaz duruma getirmelerine olanak sağlar ve veritabanı sunucusu.
*Okunuş Biçimi ESKUEL olarak tanımlanır
*İlk SQL enjeksiyon tartışmaları 1998'de ortaya çıkmaya başlamıştır
SQL Injection (SQLI), Open Web Application Security Project tarafından 2007 ve 2010'daki en iyi 10 web uygulama güvenlik açığından biri olarak kabul edildi . 2013 yılında, SQLI, OWASP’e ilk 10 a düzenlenen bir numaralı saldırı olarak değerlendirildi. Dört ana SQL enjeksiyon sınıfı vardır:
Bugün açıcağım konu SQL Enjeksiyonu nedir ne işe yarar bunlar hakkında geniş bir anlatım yapıcağım.Uzatmadan Konuya geçiyorum...
İlk olarak SQL Nedir ondan bahsedeceğim,SQL (Structured Query Language – Yapılandırılırmış Sorgu Dili) kavramı, bir nevi veritabanı yönetimini ifade eder. Burada amaç verileri yönetebilmek ve tasarlayabilmektir. Esasen SQL bir programlama dili olmasa bile pek çok kişi tarafından bu şekilde kabul görür. SQL aracılığıyla sadece veritabanı üstünden işlem gerçekleştirilir. Genel anlamda SQL kurulumu bir hayli zordur ve hatta kurulumu kadar kaldırılması da bir hayli teknik bir konudur.
SQL tanımını az da olsa anladıysak asıl konumuza gelelim...
SQL Enjeksiyonu
SQL enjeksiyonu , kötü amaçlı SQL ifadelerinin yürütmek üzere bir giriş alanına eklendiği (örneğin, veritabanı içeriğini saldırgana aktarmak için) veri odaklı uygulamalara saldırmak için kullanılan bir kod enjeksiyon tekniğidir . SQL enjeksiyonu , bir uygulamanın yazılımında, örneğin, kullanıcı girişi ya SQL ifadelerinde gömülü olan dize değişmez kaçış karakterleri için hatalı bir şekilde filtrelendiğinde veya kullanıcı girişi kesinlikle yazılmadığında ve beklenmedik şekilde yürütüldüğünde , güvenlik açığından yararlanmalıdır . SQL enjeksiyonu çoğunlukla web siteleri için bir saldırı vektörü olarak bilinir, ancak her çeşit SQL veritabanına saldırmak için kullanılabilir.
SQL enjeksiyon saldırıları, saldırganların kimliğe bürünmesine, mevcut verilerle kurcalanmasına, işlemleri iptal etme veya bakiyeleri değiştirme gibi reddedilme sorunlarına neden olmalarına, sistemdeki tüm verilerin açıklanmasına izin vermelerine, verileri imha etmelerine veya kullanılamaz duruma getirmelerine olanak sağlar ve veritabanı sunucusu.
*Okunuş Biçimi ESKUEL olarak tanımlanır
*İlk SQL enjeksiyon tartışmaları 1998'de ortaya çıkmaya başlamıştır
SQL Injection (SQLI), Open Web Application Security Project tarafından 2007 ve 2010'daki en iyi 10 web uygulama güvenlik açığından biri olarak kabul edildi . 2013 yılında, SQLI, OWASP’e ilk 10 a düzenlenen bir numaralı saldırı olarak değerlendirildi. Dört ana SQL enjeksiyon sınıfı vardır:
- Klasik SQLI
- Kör veya Çıkarım SQL enjeksiyonu
- Veritabanı yönetim sistemi -özel SQLI
- Bileşik SQLI
- SQL enjeksiyon + yetersiz kimlik doğrulama
- SQL enjeksiyon + DDoS saldırıları
- SQL enjeksiyon + DNS ele geçirme
- SQL enjeksiyonu + XSS
