Subscribe Us

header ads

SQL İnjection ve Dump


SQL İNJECTİON

SQL İnjection, veritabanlarına yapılan bir saldırıdır. Attacker’lar sitede oluşan SQL açıklarından dolayı veritabanlarına sızar. Attacker, veritabanlarına ulaşır ve SQL tablolarını ele geçirir. İsterse düzenler/siler/kendine aktarabilir. SQL açığı büyük bir açıktır. Düzeltilmez ise en ufak bir hata yüzünden tüm bilgileriniz ele geçirilebilir, sistem kullanıcı bilgilerini ele geçirebilir, admin panelinize sızabilir, işlemlerinizi iptal edip/değiştirebilir, veri tabanındaki tüm bilgilerinizi internete sızdırabilir ve verilerinizi yok edebilir. Bazı araştırmalara göre SQL İnjection 2007-2010 arasında en çok kullanılan saldırılar ilk 10’un arasında yer alır. 2012-2013 yıllarında ise en fazla kullanılan saldırı türü olmuş ve büyük hasarlar vermiştir. 

SQL İNJECTİON’dan KORUNMA - AÇIK KAPATMA

SQL İnjection, öneme alınması gereken bir açıktır. Eğer sitenizde SQL açığı var ise tamamen düzeltmelisiniz. Sitenizde SQL açığı taratmak istiyorsanız makalenin sonundaki linkten ulaşabilirsiniz. Genel olarak SQL açıklarının yüksek olarak PDO ile kapatıldığı görülür. Ama hepsini kapatır mı bilinmez. Bu yüzden sitenize zararlı sembolleri engellemelisiniz. En basitinden bir saldırgan sizin sitenizde SQL açığını nasıl anlar? 
1- Dork
2- ‘ sembolü. 
Saldırganlar en basit bir dork ile sizin sitenize ulaşabilir. Mesela bir satış sitesisiniz. Saldırgan size en basitinden inurl:”shop.php?id=“ dorku ile ulaşabilir. Sonrasında ise sizin sitenize girer. İlk öncelikle yapacağı şey URL’nizden açığı taramak olucak. URL ‘nizin sonuna ‘ sembolünü ekleyip açığı tarar. Eğer sitede açık varsa önüne SQL uyarısı çıkar. Bunu kapatmanız için php.ini dosyasından magic_quotes ‘in on(aktif) olması lazım. 

DUMP NEDİR?

Dump, boşaltma demektir. Yani diyelim bir attacker oldunuz. SQL açığı ile hedefe sızdınız. Siz onun bilgilerini alıp internete koyarsanız bu dump oluyor. Yani SQL database dump. Ya da sadece email,pass aldınız. Bu email-pass ı aldığınızda Hedeften email ve pass dumplamış oluyorsunuz.

SQL AÇIK TARATMA PROGRAMI: http://bc.vc/xjbvWIq

Yorum Gönderme

0 Yorumlar