Konuyu Oyla:
  • Toplam: 2 Oy - Ortalama: 5
  • 1
  • 2
  • 3
  • 4
  • 5
   
Konu: SQL Injection Açığı ile Neler Yapılabilir Cevabı
KingSkrupellos
*
avatar
Hacktivist
Durum: Çevrimdışı
Seviye Puanı: 56
Yaşam Puanı: 1,389 / 1,389
Deneyim: 59 / 100
Rep Sayısı: 2870
Mesaj Sayısı: 6555
Üyelik Tarihi: 21.08.2013
     
Yorum: #1
SQL Injection Açığı ile Neler Yapılabilir Cevabı
21.05.2020 02:21
Selamün Aleyküm Cyberizm Ahalisi ;

SQL Injection Açığı ile Neler Yapılabilir Cevabı Kısa Anlatım

SQL İngilizce'den ( Structured Query Language ) Türkçesi ( Yapılandırılmış Sorgu Dili ) ifadesinin kısaltılmasıdır.

Yapısal sorgulama dili (SQL) ilişkisel veritabanı yönetim sistemlerinde (relational database management system) kullanılan ve
sistem üzerinde programcının istediği veriyi organize etmesi, sorgulaması, ekleme veya değiştirme yapması kısacası veriyi
yönetmesi amacına yöneliktir.

SQL kullanımı ve yapısı itibari ile bir komut satır dili olarak da düşünülebilir. Yani kullanıcılar bir komut satırında komutları
çalıştırır gibi SQL cümlelerini (statements) girmekte ve sonuçları satır satır görmektedirler.

1) SQL Injection ise veri tabanına ( database ) dayalı uygulamalara saldırmak için kullanılan bir saldırı metodudur.

2) SQL injection saldırıları, saldırganların, sistemdeki kullanıcılardan birinin bilgileriyle giriş yapmasına, mevcut verilere
müdahale etmesine, bazı işlemleri iptal etmesine veya değiştirmesine, veri tabanındaki tüm verileri ifşa etmesine,
veri tabanındaki tüm verileri yok etmesine, veri tabanı sunucusunda sistem yöneticisi olmasına olanak sağlar.

Hacker Saldırganın tek yapması gereken yazılımların içindeki bir güvenlik açığından faydalanarak veritabanına ulaşmak

3) Bir Sitenin yada Herhangi bir sistemdeki veritabanındaki kullanıcı adları, emailler, şifreler, kart numaraları vesiare ele geçirilebilir

4) Veritabanındaki bilgilerden yola çıkarak yönetici veya kullanıcı panelinize ulaşılabilir ve sistem içerisindeki
dosya yükleme ile sisteme .php uzantılı Shell yüklenebilir.

5) Sadece kendi sitenizi değil bir IP Adresi içerisindeki sunucu içerisindeki tüm siteleri aynı anda etkileyebilir.

6) SQL Enjeksiyon Türleri ise Manuel SQL Injection ( El Yordamıyla Yapılan ) ; Error Based SQL Injection ;

Union Based SQL Injection ; Boolean Based SQL Injection ; Time Based SQL Injection ; Blind SQL Injection ;

String Based SQL Injection ; Integer Based SQL Injection ; Order of Injection - MySQL Injection gibi saldırı türleri mevcuttur.

7) Saldırı yöntemlerinden bir tanesi - SQLMap Python dili yazılarak geliştirilmiş SQL Enjeksiyon için

Güvenlik Pentesterları için son derece yardımcı olan bir araçtır.

Temel olarak yaptığı işlem sizin belirtmiş olduğunuz parametrelere göre hedef web sitesinde kendi içerisinde

mevcut olan kombinasyonları deneyerek ilgili sitede açık arar.

Kendisine sağlanan hedef web uygulamasının kullandığı veritabanı sistemine gönderdiği çeşitli sorgular/komutlar ile sistem üzerindeki
sql injection tipini tespit eder yine kendisine sağlanan parametrelere göre çeşitli bilgileri hedef veritabanından alır.

SQLMap ile Hedef Sistem Hakkında Elde Edilebilen Bazı Veriler şunlardır ;

Veritabanı türü ve versiyonu (–banner,–all)
Mevcut kullanılan veritabanı ve erişilebilen tüm veritabanı isimleri (–current-db, –dbs)
Veritabanı tabloları(tables) ve bu tablolara ait kolonları(columns) (–tables, –columns)
Veritabanı datası(–dump, –dump-all)
Veritabanı mevcut kullanıcısı ve tüm kullanıcılar(–current-user,–users)
Veritabanı kullanıcı parolası (–passwords)
Veritabanı kullanıcısının DB admin olup olmadığı bilgisi(–is-dba)
Hedef sunucu hakkında bilgi(İşletim sistemi, Uygulamanın kullanıldığı teknoloji vs. , -f)

Umarım bu kısa bilgi işini fazlasıyla görecektir. Daha fazla detaylı bilgi için İngilizce Makaleleri takip edebilirsin.
Eğer ingilizce bilmiyorsan Google Translate yardımıyla anlamadığın yerleri tercüme edebilirsin.
Daha fazla anlamadıysanız yine bize sorabilirsiniz

Cyberizm Digital Security Team

# Cyberizm Digital Security Technological Turkish Moslem Army #
# İnsanda bir organ vardır. Eğer o sağlıklı ise bütün vücut sağlıklı olur;
eğer o bozulursa bütün vücut bozulur. Dikkat edin! O, kalptir.
[ Hz.Muhammed S.A.V ] #


Alinti
Rep Verenler: Hackmen , MECZUP , tigeraydd
tigeraydd
*
avatar
Teğmen
Durum: Çevrimdışı
Seviye Puanı: 10
Yaşam Puanı: 65 / 235
Deneyim: 40 / 100
Rep Sayısı: 4
Mesaj Sayısı: 129
Üyelik Tarihi: 12.05.2019
     
Yorum: #2
RE: SQL Injection Açığı ile Neler Yapılabilir Cevabı
21.05.2020 14:17
Teşekkürler hocam ellerinize sağlık
Alinti
xDeaTh
*
avatar
Teğmen
Durum: Çevrimdışı
Seviye Puanı: 4
Yaşam Puanı: 0 / 82
Deneyim: 31 / 100
Rep Sayısı: 0
Mesaj Sayısı: 31
Üyelik Tarihi: 27.12.2013
     
Yorum: #3
RE: SQL Injection Açığı ile Neler Yapılabilir Cevabı
21.05.2020 16:10
Teşekkürler, Emeğine Sağlık Smile
Alinti
MECZUP
*
avatar
Binbaşı
Durum: Çevrimdışı
Seviye Puanı: 15
Yaşam Puanı: 164 / 374
Deneyim: 96 / 100
Rep Sayısı: 39
Mesaj Sayısı: 292
Üyelik Tarihi: 17.10.2018
      
Yorum: #4
RE: SQL Injection Açığı ile Neler Yapılabilir Cevabı
21.05.2020 22:29
Teşekkürler, Emeğine Sağlık ++

Meczup Official

VarsaYoksa Cyberizm
Alinti
tigeraydd
*
avatar
Teğmen
Durum: Çevrimdışı
Seviye Puanı: 10
Yaşam Puanı: 65 / 235
Deneyim: 40 / 100
Rep Sayısı:
Mesaj Sayısı: 129
Üyelik Tarihi: 12.05.2019
     
Yorum: #5
RE: SQL Injection Açığı ile Neler Yapılabilir Cevabı
23.05.2020 00:58
Emeğine Sağlık
Alinti



1 Ziyaretçi