Web sitenizde sql açık arayanlara özel

Web sitenizde sql açık arayanlara özel bir kod var ve bu sizin pek işinize yarayacak gibi duruyor.


ilk oncelikle sql acik bulunan alani bulalim.

misal www.site.com/haberler.php?id=1 vb.

haberler.php icini acalim.

eğer mesela www.site.com/haberler.php?detay=1 ise soyle yapacağız

koddaki id yerine detay veya neyse onu yazacağız.

Kod:

<?php
$sql = @$_GET["id"];
   if(strstr($sql, "'")) {
        require_once("../404.shtml");
        exit;
   
    }
?>

Bu sekilde kodumuzu haberler.php’ye ekliyoruz. Ve artik sql acik arayan lamer www.site.com/haber.php?id=1‘ yapınca direk 404.shtml cikacak.

Yani 404 sayfası artık sitenizde sql injection yapmaya çalışanlar hüzünle gidecekler…

webguvenlik.org alıntıdır.

 

Ama '(tırnak) sorgusu için yapıyorsun bunu. Yani integer değer olarak. 'a olarakta eklerseniz hem integer hem string olarak sorgu çekip SQL error alabilirsiniz

 

sql açığın varlığını nasıl keşfedeceğiz acaba en kestirme yol hangisi

 

sql açığın varlığını nasıl keşfedeceğiz acaba en kestirme yol hangisi

Dorklarla
Örnek:
1.Herhangi Arama Motorunu Açın
2.Arama Yerine site:example.com inurlhp?itemid=
3.Eğer Site Windows Serverse php?itemid= Yerine asp?id= Olucaktır

 

Dorklarla
Örnek:
1.Herhangi Arama Motorunu Açın
2.Arama Yerine site:example.com inurlhp?itemid=
3.Eğer Site Windows Serverse php?itemid= Yerine asp?id= Olucaktır

yerine :q mu olacak

 

yerine :q mu olacak

inurl:istedigınkelime.php?id=

 

inurl:istedigınkelime.php?id=

ne kadar dikkatsizim yahu php sitede :qhp aratacak kadar vay be teşekkür ederim kardeşim. kafa yorulmuş pc den kalkma zamanı hayırlı akşamlar

 

ne kadar dikkatsizim yahu php sitede :qhp aratacak kadar vay be teşekkür ederim kardeşim. kafa yorulmuş pc den kalkma zamanı hayırlı akşamlar

Olur öyle şeyler

 

ne kadar dikkatsizim yahu php sitede :qhp aratacak kadar vay be teşekkür ederim kardeşim. kafa yorulmuş pc den kalkma zamanı hayırlı akşamlar

Ayrıca Server Üzerindede Açık Tarayabilirsin [ip] dorkuyla örnek:ip:xxx.xx.xxx.xx