Sql Injection Neden Oluşur

'Security' forumunda yigitturko tarafından 25 Nisan 2018 tarihinde açılan konu

    Katılım:
    25 Eylül 2016
    Mesaj:
    733
    Alınan Beğeniler:
    407

    Özel Mesaj
    Evet öncelikle hepinize selamın aleyküm devremlerim ben sürekli sql açığından nasıl yararlanır sonra exploitler vs vs. ilgili konu açtım peki bu sql açıkları neden oluşur ve nasıl oluşur onur hiç anlatmadım şimdi geldik anlatmaya;
    SQL İnjection Açığı Nasıl Oluşur?
    SQL Injection şüphe götürmez ki web uygulamalarında yaygınlık / hasar oranı en yüksek açıktır. Muhtemelen exploit etmesi de en eğlenceli ve bazen tahmin edilenden daha zor olan açıktır.
    SQL Injection’ ın ana nedeni web uygulamasının kullanıcıdan gelen girdiyi doğru şekilde kontrol etmeden o girdi ile dinamik bir SQL cümleciği oluşturmasından kaynaklanmaktadır.
    SQL’ e istediğimiz komutu göndermek için öncelikle string bölümünden (') tırnak karakteri ile kaçıp daha sonra istediğimiz SQL komutunu SQL cümleciğine ekledik. Burada eklediğimiz komut “OR 1=1” gibi bir komuttu. Bu komut sayesinde SQL cümleciği tüm kayıtları döndürdüğünden dolayı sisteme başarılı bir şekilde giriş yapabiliriz.
    Özetle normalde SQL cümleciğinin yapısını değiştirerek yapması gerekeni değil yapmasını istediğimiz şeyi yaptırmak. Bunun ana nedeni ise SQL cümleciğinin içerisine dışarıdan (') tırnak karakteri aracılığı ile komut ekleyebilmemizdi.

    Bu anlattıklarımı dikkate alıp okuduysan inan bana sana çok yardımcı olacak.

    Ve benim çok sevdiğimde bir söz vardır.

    "Sabreyle işine,hayır gelsin başına" anlamını bilmeyenler içinde anlamı şudur:bir iş yaparken acele etmez,sabrederseniz hayırlı sonuçlar alırsınız.
     
    Hingilim, Asix ve HAREZHAN bunu beğendi.
    Katılım:
    19 Aralık 2016
    Mesaj:
    872
    Alınan Beğeniler:
    571

    Özel Mesaj
    devrem manuel olarakda yaptığım bir açıkdır bazen çok zor oluyor bazende çok kolay oluyor ama azimederek biyerlerden yine dataları çekiyorum hatta şuan bile uğraşıyorum eline sağlık
     
    Katılım:
    25 Eylül 2016
    Mesaj:
    733
    Alınan Beğeniler:
    407

    Özel Mesaj
    rica ederim devrem o zaman kolay gelsin ama bir sistemde de sql açığı çıkarsa çok tehlikeli oluyor devrem kredi kartı bilgilerine kadar sömürebiliyorsun :D
     
  1. Asix ER

    Katılım:
    31 Ağustos 2016
    Mesaj:
    50
    Alınan Beğeniler:
    16

    Özel Mesaj
    Html injection hakkında bilgi verebilir misiniz?
     
    Katılım:
    25 Eylül 2016
    Mesaj:
    733
    Alınan Beğeniler:
    407

    Özel Mesaj
    devrem pek bir bilgim yok ama araştırabilirim gerekli bilgileri edinincede konu açarım ama yine de bir foruma bak
     
    Katılım:
    25 Eylül 2016
    Mesaj:
    733
    Alınan Beğeniler:
    407

    Özel Mesaj
    HTML enjeksiyonu, Çapraz Site Komut Dosyası (XSS) ile benzer bir saldırıdır. XSS güvenlik açığındayken saldırgan Javascript kodunu enjekte edebilir ve çalıştırabilir; HTML enjeksiyon saldırısı sadece belirli HTML etiketlerinin enjeksiyonuna izin verir. Bir uygulama, kullanıcı tarafından sağlanan verileri doğru şekilde işlemezse, bir saldırgan, geçerli bir HTML kodunu, tipik olarak bir parametre değeriyle sağlayabilir ve kendi içeriklerini sayfaya enjekte edebilir. Saldırı, kod tabanlı bir güvenlik açığından ve kullanıcının güveninden yararlanarak, bu saldırı genellikle bir tür sosyal mühendislik ile bağlantılı olarak kullanılır.

    Saldırı senaryosu (OWASP)

    Olası bir saldırı senaryosu aşağıda gösterilmiştir:

    Saldırgan, enjeksiyon güvenlik açığını keşfeder ve bir HTML enjeksiyon saldırısı kullanmaya karar verir.
    Saldırgan, enjekte edilen HTML içeriği de dahil olmak üzere kötü amaçlı el sanatları zekası ve e-posta yoluyla bir kullanıcıya gönderir
    Kullanıcı, sayfanın güvenilir bir alan içinde bulunduğundan sayfayı ziyaret ediyor
    Saldırganın enjekte edilen HTML'si, kullanıcı adı ve parola isteyen kullanıcı tarafından oluşturulup sunulur.
    Kullanıcı, her ikisi de saldırgan sunucuya gönderilen bir kullanıcı adı ve şifre girer

    İngilizcesi:
    HTML injection is an attack that is similar to Cross-site Scripting (XSS). While in the XSS vulnerability the attacker can inject and execute Javascript code, the HTML injection attack only allows the injection of certain HTML tags. When an application does not properly handle user supplied data, an attacker can supply valid HTML code, typically via a parameter value, and inject their own content into the page. This attack is typically used in conjunction with some form of social engineering, as the attack is exploiting a code-based vulnerability and a user's trust.

    Attack scenario (OWASP)

    A possible attack scenario is demonstrated below:

    Attacker discovers injection vulnerability and decides to use an HTML injection attack
    Attacker crafts malicious link, including his injected HTML content, and sends it to a user via email


    The user visits the page due to the page being located within a trusted domain
    The attacker's injected HTML is rendered and presented to the user asking for a username and password
    The user enters a username and password, which are both sent to the attackers server

    Buyur devrem araştırdım kısa bir bilgi ama gayet yararlı kısa ve öz yani
     
    Asix bunu beğendi.
    Katılım:
    19 Aralık 2016
    Mesaj:
    872
    Alınan Beğeniler:
    571

    Özel Mesaj
    doğru devrem ama bazen çok zor olabiliyor bide size sql inj de manuel olanı öneririm çünkü bazen öle bir hal alıyorki programla geçemediğini eli ile geçiyorsun
     
    Katılım:
    25 Eylül 2016
    Mesaj:
    733
    Alınan Beğeniler:
    407

    Özel Mesaj
    devrem ben zaten kali linux ile kendi elimle yazıyorum ve daha iyi sonuç alıyorum database i vs daha kolay çekiyorum
     
  2. AYDOĞAN ALBAY

    Katılım:
    11 Ağustos 2012
    Mesaj:
    8,248
    Alınan Beğeniler:
    38,182
    Meslek:
    Defender Ayt Savunma

    Özel Mesaj
    Tum konularda yardim istiyorsun biraz kendin arastir oku.Forumda her turlu bilgi belge mevcut.
     
    Sekhmet bunu beğendi.
    Katılım:
    25 Eylül 2016
    Mesaj:
    733
    Alınan Beğeniler:
    407

    Özel Mesaj
    komutanım ben dediği için biraz aarştırıp bilgi yazdım ama o sıkıntı olur mu çünkü bu konu altına yazdım da
     
  3. Asix ER

    Katılım:
    31 Ağustos 2016
    Mesaj:
    50
    Alınan Beğeniler:
    16

    Özel Mesaj
    Komutanım bu konuda haklı olabilirsiniz belki ama bazı durumlarda vakit kısıtlı olduğu için belki öğrenmeye zamanım yok o yüzden istiyor olabilirim