• Forum yönetim ekibiyle iletişime geçmek istiyorsanız Sorun & Öneriler kategorisini kullanınız, özel mesajlara destek verilmemektedir. Sitemizde Bakım çalışması devam etmektedir...

SQL Injection Nedir? Nasıl Gerçekleştirilir?

Tosun

tosunc.uk
Moderatör
Katılım
19 Aralık 2020
Mesajlar
1,522
Tepkime puanı
2,418
İlgi Alanlarınız
o
Cinsiyet
  1. Erkek
Merhaba Arkadaşlar Bugün Böyle Bir Konuya Değindik Hemen Konumuza Geçelim

13224mf6pdz40cog8k.png

SQL Injection Nedir? Nasıl Gerçekleştirilir?​

SQL Injection (SQLi), kötü amaçlı SQL ifadelerinin yürütülmesini mümkün kılan bir enjeksiyon saldırısı türüdür. Bu ifadeler, bir web uygulamasının arkasındaki veritabanı sunucusunu denetler. Saldırganlar, uygulama güvenlik önlemlerini atlamak için SQL Injection güvenlik açıklarını kullanabilir. Bir web sayfasının veya web uygulamasının kimlik doğrulaması ve yetkilendirmesi etrafında dolaşabilir ve tüm SQL veritabanının içeriğini alabilirler. Ayrıca veritabanına kayıt eklemek, değiştirmek ve silmek için SQL Injection kullanabilirler.
SQL Injection güvenlik açığı, MySQL, Oracle, SQL Server veya diğerleri gibi SQL veritabanı kullanan herhangi bir web sitesini veya web uygulamasını etkileyebilir. Suçlular bunu hassas verilerinize yetkisiz erişim elde etmek için kullanabilir: müşteri bilgileri, kişisel veriler, ticari sırlar, fikri mülkiyet ve daha fazlası. SQL Injection saldırıları en eski, en yaygın ve en tehlikeli web uygulaması güvenlik açıklarından biridir. OWASP kuruluşu (Open Web Application Security Project) OWASP Top 10 2017 belgelerindeki enjeksiyonları web uygulama güvenliğine bir numaralı tehdit olarak listeliyor.

SQL sorgusu nedir?​

SQL, her kullanıcı için özelleştirilebilir veri görünümleri oluşturmak üzere veritabanlarına erişmek ve bunları yönetmek için kullanılan standartlaştırılmış bir dildir. SQL sorguları veri alma, güncelleme ve kayıt kaldırma gibi komutları yürütmek için kullanılır. Farklı SQL öğeleri bu görevleri gerçekleştirir, örneğin, kullanıcı tarafından sağlanan parametrelere dayalı olarak verileri almak için SELECT deyimini kullanan sorgular.

SQL Injection Türleri​


SQL Injectionları genellikle üç kategoriye ayrılır: Bant içi SQLi (Klasik), Çıkarımsal SQLi (Kör) ve Bant Dışı SQLi. SQL Injection türlerini, arka uç verilerine erişmek için kullandıkları yöntemlere ve hasar potansiyellerine göre sınıflandırabilirsiniz.

Bant içi Sql​


Saldırgan, saldırılarını başlatmak ve sonuçlarını toplamak için aynı iletişim kanalını kullanır. Bant içi SQLi'nin sadeliği ve verimliliği, onu en yaygın SQLi saldırısı türlerinden biri haline getirir. Bu yöntemin iki alt varyasyonu vardır:
  • Hata tabanlı SQL — saldırgan, veritabanının hata iletileri üretmesine neden olan eylemler gerçekleştirir. Saldırgan, veritabanının yapısı hakkında bilgi toplamak için bu hata iletileri tarafından sağlanan verileri kullanabilir.
  • Birliğe dayalı SQL —Bu teknik, tek bir HTTP yanıtı almak için veritabanı tarafından oluşturulan birden çok seçme ifadeyi birleştiren UNION SQL işlecinden yararlanır. Bu yanıt, saldırgan tarafından kullanılabilecek veriler içerebilir.

Çıkarımsal (Kör) Sql​


Saldırgan, sunucuya veri yükleri gönderir ve yapısı hakkında daha fazla bilgi edinmek için sunucunun yanıtını ve davranışını gözlemler. Veriler web sitesi veritabanından saldırgana aktarılmadığından bu yöntem kör SQLi olarak adlandırılır, böylece saldırgan bant içi saldırı hakkında bilgi göremez.
Kör SQL Injectionları, sunucunun yanıtına ve davranış kalıplarına dayanır, bu nedenle yürütülmesi genellikle yavaştır, ancak aynı derecede zararlı olabilir. Kör SQL Injectionları aşağıdaki gibi sınıflandırılabilir:
  • Boolean — saldırganın veritabanına bir SQL sorgusu göndererek uygulamanın bir sonuç döndürmesini ister. Sonuç, sorgunun doğru veya yanlış olmasına bağlı olarak değişir. Sonuca dayanarak, HTTP yanıtı içindeki bilgiler değişecek veya değişmeden kalacaktır. Saldırgan, ileti doğru veya yanlış bir sonuç oluşturduysa bu sorunu çözebilir.
  • Zamana dayalı —attacker veritabanına bir SQL sorgusu gönderir, bu da veritabanının tepki vermeden önce beklemesini sağlar (saniyeler içinde). Saldırgan, bir sorgunun doğru veya yanlış olup olmadığını, veritabanının yanıt verdiği andan itibaren görebilir. Sonuca dayanarak, anında veya bir bekleme süresinden sonra bir HTTP yanıtı oluşturulur. Böylece saldırgan, kullandıkları iletinin veritabanındaki verilere dayanmadan doğru veya yanlış döndürdüğü takdirde çalışabilir.
Umarım Yararlı Olmuştur.
İyi Forumlar Dilerim!
 

The One

Bronz Üye
Katılım
24 Ocak 2021
Mesajlar
410
Tepkime puanı
720
İlgi Alanlarınız
Siber Güvenlik
Cinsiyet
  1. Erkek
Merhaba Arkadaşlar Bugün Böyle Bir Konuya Değindik Hemen Konumuza Geçelim

Ekli dosyayı görüntüle 246

SQL Injection Nedir? Nasıl Gerçekleştirilir?​

SQL Injection (SQLi), kötü amaçlı SQL ifadelerinin yürütülmesini mümkün kılan bir enjeksiyon saldırısı türüdür. Bu ifadeler, bir web uygulamasının arkasındaki veritabanı sunucusunu denetler. Saldırganlar, uygulama güvenlik önlemlerini atlamak için SQL Injection güvenlik açıklarını kullanabilir. Bir web sayfasının veya web uygulamasının kimlik doğrulaması ve yetkilendirmesi etrafında dolaşabilir ve tüm SQL veritabanının içeriğini alabilirler. Ayrıca veritabanına kayıt eklemek, değiştirmek ve silmek için SQL Injection kullanabilirler.
SQL Injection güvenlik açığı, MySQL, Oracle, SQL Server veya diğerleri gibi SQL veritabanı kullanan herhangi bir web sitesini veya web uygulamasını etkileyebilir. Suçlular bunu hassas verilerinize yetkisiz erişim elde etmek için kullanabilir: müşteri bilgileri, kişisel veriler, ticari sırlar, fikri mülkiyet ve daha fazlası. SQL Injection saldırıları en eski, en yaygın ve en tehlikeli web uygulaması güvenlik açıklarından biridir. OWASP kuruluşu (Open Web Application Security Project) OWASP Top 10 2017 belgelerindeki enjeksiyonları web uygulama güvenliğine bir numaralı tehdit olarak listeliyor.

SQL sorgusu nedir?​

SQL, her kullanıcı için özelleştirilebilir veri görünümleri oluşturmak üzere veritabanlarına erişmek ve bunları yönetmek için kullanılan standartlaştırılmış bir dildir. SQL sorguları veri alma, güncelleme ve kayıt kaldırma gibi komutları yürütmek için kullanılır. Farklı SQL öğeleri bu görevleri gerçekleştirir, örneğin, kullanıcı tarafından sağlanan parametrelere dayalı olarak verileri almak için SELECT deyimini kullanan sorgular.

SQL Injection Türleri​


SQL Injectionları genellikle üç kategoriye ayrılır: Bant içi SQLi (Klasik), Çıkarımsal SQLi (Kör) ve Bant Dışı SQLi. SQL Injection türlerini, arka uç verilerine erişmek için kullandıkları yöntemlere ve hasar potansiyellerine göre sınıflandırabilirsiniz.

Bant içi Sql​


Saldırgan, saldırılarını başlatmak ve sonuçlarını toplamak için aynı iletişim kanalını kullanır. Bant içi SQLi'nin sadeliği ve verimliliği, onu en yaygın SQLi saldırısı türlerinden biri haline getirir. Bu yöntemin iki alt varyasyonu vardır:
  • Hata tabanlı SQL — saldırgan, veritabanının hata iletileri üretmesine neden olan eylemler gerçekleştirir. Saldırgan, veritabanının yapısı hakkında bilgi toplamak için bu hata iletileri tarafından sağlanan verileri kullanabilir.
  • Birliğe dayalı SQL —Bu teknik, tek bir HTTP yanıtı almak için veritabanı tarafından oluşturulan birden çok seçme ifadeyi birleştiren UNION SQL işlecinden yararlanır. Bu yanıt, saldırgan tarafından kullanılabilecek veriler içerebilir.

Çıkarımsal (Kör) Sql​


Saldırgan, sunucuya veri yükleri gönderir ve yapısı hakkında daha fazla bilgi edinmek için sunucunun yanıtını ve davranışını gözlemler. Veriler web sitesi veritabanından saldırgana aktarılmadığından bu yöntem kör SQLi olarak adlandırılır, böylece saldırgan bant içi saldırı hakkında bilgi göremez.
Kör SQL Injectionları, sunucunun yanıtına ve davranış kalıplarına dayanır, bu nedenle yürütülmesi genellikle yavaştır, ancak aynı derecede zararlı olabilir. Kör SQL Injectionları aşağıdaki gibi sınıflandırılabilir:
  • Boolean — saldırganın veritabanına bir SQL sorgusu göndererek uygulamanın bir sonuç döndürmesini ister. Sonuç, sorgunun doğru veya yanlış olmasına bağlı olarak değişir. Sonuca dayanarak, HTTP yanıtı içindeki bilgiler değişecek veya değişmeden kalacaktır. Saldırgan, ileti doğru veya yanlış bir sonuç oluşturduysa bu sorunu çözebilir.
  • Zamana dayalı —attacker veritabanına bir SQL sorgusu gönderir, bu da veritabanının tepki vermeden önce beklemesini sağlar (saniyeler içinde). Saldırgan, bir sorgunun doğru veya yanlış olup olmadığını, veritabanının yanıt verdiği andan itibaren görebilir. Sonuca dayanarak, anında veya bir bekleme süresinden sonra bir HTTP yanıtı oluşturulur. Böylece saldırgan, kullandıkları iletinin veritabanındaki verilere dayanmadan doğru veya yanlış döndürdüğü takdirde çalışabilir.
Umarım Yararlı Olmuştur.
İyi Forumlar Dilerim!
Eline sağlık :)
 
Katılım
15 Ocak 2021
Mesajlar
252
Tepkime puanı
266
İlgi Alanlarınız
Yazılım
Cinsiyet
  1. Erkek
Merhaba Arkadaşlar Bugün Böyle Bir Konuya Değindik Hemen Konumuza Geçelim

Ekli dosyayı görüntüle 246

SQL Injection Nedir? Nasıl Gerçekleştirilir?​

SQL Injection (SQLi), kötü amaçlı SQL ifadelerinin yürütülmesini mümkün kılan bir enjeksiyon saldırısı türüdür. Bu ifadeler, bir web uygulamasının arkasındaki veritabanı sunucusunu denetler. Saldırganlar, uygulama güvenlik önlemlerini atlamak için SQL Injection güvenlik açıklarını kullanabilir. Bir web sayfasının veya web uygulamasının kimlik doğrulaması ve yetkilendirmesi etrafında dolaşabilir ve tüm SQL veritabanının içeriğini alabilirler. Ayrıca veritabanına kayıt eklemek, değiştirmek ve silmek için SQL Injection kullanabilirler.
SQL Injection güvenlik açığı, MySQL, Oracle, SQL Server veya diğerleri gibi SQL veritabanı kullanan herhangi bir web sitesini veya web uygulamasını etkileyebilir. Suçlular bunu hassas verilerinize yetkisiz erişim elde etmek için kullanabilir: müşteri bilgileri, kişisel veriler, ticari sırlar, fikri mülkiyet ve daha fazlası. SQL Injection saldırıları en eski, en yaygın ve en tehlikeli web uygulaması güvenlik açıklarından biridir. OWASP kuruluşu (Open Web Application Security Project) OWASP Top 10 2017 belgelerindeki enjeksiyonları web uygulama güvenliğine bir numaralı tehdit olarak listeliyor.

SQL sorgusu nedir?​

SQL, her kullanıcı için özelleştirilebilir veri görünümleri oluşturmak üzere veritabanlarına erişmek ve bunları yönetmek için kullanılan standartlaştırılmış bir dildir. SQL sorguları veri alma, güncelleme ve kayıt kaldırma gibi komutları yürütmek için kullanılır. Farklı SQL öğeleri bu görevleri gerçekleştirir, örneğin, kullanıcı tarafından sağlanan parametrelere dayalı olarak verileri almak için SELECT deyimini kullanan sorgular.

SQL Injection Türleri​


SQL Injectionları genellikle üç kategoriye ayrılır: Bant içi SQLi (Klasik), Çıkarımsal SQLi (Kör) ve Bant Dışı SQLi. SQL Injection türlerini, arka uç verilerine erişmek için kullandıkları yöntemlere ve hasar potansiyellerine göre sınıflandırabilirsiniz.

Bant içi Sql​


Saldırgan, saldırılarını başlatmak ve sonuçlarını toplamak için aynı iletişim kanalını kullanır. Bant içi SQLi'nin sadeliği ve verimliliği, onu en yaygın SQLi saldırısı türlerinden biri haline getirir. Bu yöntemin iki alt varyasyonu vardır:
  • Hata tabanlı SQL — saldırgan, veritabanının hata iletileri üretmesine neden olan eylemler gerçekleştirir. Saldırgan, veritabanının yapısı hakkında bilgi toplamak için bu hata iletileri tarafından sağlanan verileri kullanabilir.
  • Birliğe dayalı SQL —Bu teknik, tek bir HTTP yanıtı almak için veritabanı tarafından oluşturulan birden çok seçme ifadeyi birleştiren UNION SQL işlecinden yararlanır. Bu yanıt, saldırgan tarafından kullanılabilecek veriler içerebilir.

Çıkarımsal (Kör) Sql​


Saldırgan, sunucuya veri yükleri gönderir ve yapısı hakkında daha fazla bilgi edinmek için sunucunun yanıtını ve davranışını gözlemler. Veriler web sitesi veritabanından saldırgana aktarılmadığından bu yöntem kör SQLi olarak adlandırılır, böylece saldırgan bant içi saldırı hakkında bilgi göremez.
Kör SQL Injectionları, sunucunun yanıtına ve davranış kalıplarına dayanır, bu nedenle yürütülmesi genellikle yavaştır, ancak aynı derecede zararlı olabilir. Kör SQL Injectionları aşağıdaki gibi sınıflandırılabilir:
  • Boolean — saldırganın veritabanına bir SQL sorgusu göndererek uygulamanın bir sonuç döndürmesini ister. Sonuç, sorgunun doğru veya yanlış olmasına bağlı olarak değişir. Sonuca dayanarak, HTTP yanıtı içindeki bilgiler değişecek veya değişmeden kalacaktır. Saldırgan, ileti doğru veya yanlış bir sonuç oluşturduysa bu sorunu çözebilir.
  • Zamana dayalı —attacker veritabanına bir SQL sorgusu gönderir, bu da veritabanının tepki vermeden önce beklemesini sağlar (saniyeler içinde). Saldırgan, bir sorgunun doğru veya yanlış olup olmadığını, veritabanının yanıt verdiği andan itibaren görebilir. Sonuca dayanarak, anında veya bir bekleme süresinden sonra bir HTTP yanıtı oluşturulur. Böylece saldırgan, kullandıkları iletinin veritabanındaki verilere dayanmadan doğru veya yanlış döndürdüğü takdirde çalışabilir.
Umarım Yararlı Olmuştur.
İyi Forumlar Dilerim!
eline sağlık tosunum
 

Konuyu görüntüleyen kullanıcılar:

Hukuksal Sorunlar İçin[email protected]
For Legal Problems[email protected]
Hacktivizm.Org
Hacktivizm.Org internet sitesi 5651 sayılı kanun’un 2. maddesinin 1. fıkrasının m) bendi ile aynı kanunun 5. maddesi kapsamında "Yer Sağlayıcı" konumundadır. İçerikler ön onay olmaksızın tamamen kullanıcılar tarafından oluşturulmaktadır. Hacktivizm.org; Yer sağlayıcı olarak, kullanıcılar tarafından oluşturulan içeriği ya da hukuka aykırı paylaşımı kontrol etmekle ya da araştırmakla yükümlü değildir. Hacktivizm saldırı timleri Türk sitelerine hiçbir zararlı faaliyette bulunmaz. Hacktivizm üyelerinin yaptığı bireysel hack faaliyetlerinden Hacktivizm sorumlu değildir. Sitelerinize Hacktivizm ismi kullanılarak hack faaliyetinde bulunulursa, site-sunucu erişim loglarından bu faaliyeti gerçekleştiren ip adresini tespit edip diğer kanıtlarla birlikte savcılığa suç duyurusunda bulununuz. Sitemizde yer alan içerikler hakkındaki şikayetlerinizi Buradan iletişime geçerek bildirebilirsiniz. Please Report Abuse, DMCA, Scamming, Harassment, Crack or any Illegal Activities to [email protected]
Hacktivizm Twitter Hacktivizm Youtube Hacktivizm İnstagram Hacktivizm Telegram

Üst