SQL Injection Saldırıları

 


SQL Injection Saldırıları

Merhabaaa sevgili arkadaşlaaar bugüün SQL injection saldırılarını anlatacağım öncelikle SQL injection saldırını anlamak için biraz SQL dilinden bahsedelim.

SQL dili database sunucular ile knuşmak için geliştirilmiş bir dildir. Bu dil sayesinde database sunucusuna; kendisinde kayıtlı hangi bilgileri bize göndermesini istediğimizi, hangi verileri nereye kaydetmesi gerektiğini, hangi verileri silmesi gerektiğini bildiririz. Bir örnek vereyim hemen

          Select * from persone id=145
          
          SQL cümleciği ile databse sunucudan bize personel tablosundaki 145 id numaralı personelin tüm bilgilerini göndermesini isteriz.
Web arayüzlerinde birçok yerde bizim girdiğimiz değerler daha sonra sql cümleciğini içerisine eklenir.

          Yani sunucu tarafında SQL kodu aşağıdaki gibidir 
         
          Select * from personel id=X

Biz web sitesindeki id alanına 145 yazar ara butonuna basarız bizim değer değişkenine atanır ve bu şekilde yukarıda ki select cümleciğinde X yerine 145 gelmiş olur. Son halini almış olan SQL cümleciğini database sunucuya gönderir. Gelen cevap ise bize teslim edilir.

         Yukarıda ki örnekte görüldüğü gibi bizim arayüzde bir girdi nojktası üzerinden girdiğimiz değer direk sql cümleciği içerisine yazılmakta. 
 
         Peki biz 145 yerine başka bir komut yazabilir miyiz? 
         
         Tabiki de yazabiliriz, eğer web arayüzünde gereki denetimler yapılmıyorsa "145" yerine "ALL" yazabiliriz. O zaman SQL cümleciğini aşağıdaki gibi olur.

         Select * from personel id=ALL

         Ve sunucu bize 145 personelinin yerine database de bulunan bütün personelin bilgilerini gönderir.

SQL injection mantığı zafiyeti bulup deneme yanılma doğru parametleri denemek ile bitiyor, amaç sizi bilgilendirmek. 

İyi günler dilerim

Yorum Gönder

0 Yorumlar

Hack Forum