Yükleniyor...





verified

Ansiklopedia

destek@ansiklopedia.com.tr
  • 4

    Görüntülenme
  • 0

    Yorum

Yönetici
verified

kelin jasen

kelin.jasen156@gmail.com
  • 546

    following
  • 26335

    likes
  • 6845

    followers
edit profile

SQL Enjeksiyonları Nasıl Çalışır?

Diğer siber suç biçimlerinin aksine, SQL enjeksiyon araçları yeraltı bilgisayar korsanlığı forumlarında ve pazar yerlerinde ücretsiz olarak mevcut değildir. Süreci otomatikleştirme seçenekleri çok azdır ve saldırganlar nispeten yüksek düzeyde teknik beceri gerektirir . En azından bilgisayar korsanı, SQL sorgularının nasıl çalıştığını anlamalıdır.


İlk olarak, saldırganlar hedeflerini belirler. Şans eseri, tehdit çok iyi bilindiğinden, modern web uygulamaları genellikle bir tür yerleşik SQLi korumasıyla birlikte gelir . Sıfırdan web siteleri oluşturan geliştiriciler için araçlar ve sektördeki en iyi uygulamalar da vardır.


Ne yazık ki, standardizasyon eksikliği ve zayıf yama yönetimi, SQLi savunmasız web sitelerinin hala ortalıkta olduğu anlamına geliyor. Günümüzün güvenlik açığı tarayıcıları bunları hızlı bir şekilde tanımlayabilir.


Saldırganların oluşturacağı sorgular, veritabanı türüne ve veritabanı yönetim sistemine bağlıdır. Bir sonraki hamle, hedef üzerinde biraz keşif toplamaktır.


Son olarak, gerçek enjeksiyon başlatılır. Bazı SQLi saldırıları , belirli HTTP isteklerindeki değişikliklere dayanırken, diğer durumlarda saldırganlar, SQL sorgularını değiştirmek için web tabanlı formlar (örn. oturum açma sayfaları veya arama çubukları) kullanır.


Örneğin, bir bilgisayar korsanı, yönetici parolasını bilmeden yönetici ayrıcalıkları elde etmek için teorik olarak bir web sitesinin oturum açma formunu kullanabilir. İşte nasıl çalıştığı.


Normalde, yönetici oturum açtığında, oturum açma formunun oluşturduğu SQL sorgusu şöyle görünür:


SELECT * FROM members WHERE username = ‘admin’ AND password = ‘[the admin password]’


Saldırgan kullanıcı adı alanına " admin'– " koyar ve parola alanını boş bırakırsa, sorgu şöyle görünür:


SELECT * FROM members WHERE username = ‘admin‘–‘ AND password = ”


Yönetici kullanıcı adından hemen sonra yerleştirilen '– , sorgunun geri kalanını geçersiz kılar, yani veritabanı parola alanında hiçbir şey olup olmadığını kontrol etmez.


Bunun yerine, saldırganın oturumunu yönetici olarak kaydeder ve kabus burada başlar...


İçeriği Beğendiniz Mi ?

İçeriği beğenmeyi ve yorum atmayı unutmayınız !

0 Kişi Beğendi !


Yeni Yorum Ekle







Yorumlar Listeleniyor... ( 0 )

    Üzgünüm ! Henüz Bu İçeriğe Yorum Yapılmadı !

    Sevgili Takipçimiz; bu konuya yorum yazarak konu sahibine destekte bulunabilirsin.

cake

Pedia.Com.TR


Gündür Aktif Bir Şekilde Hizmet Vermektedir !









snow

Mobil Uygulamamız Yakında Aktif Olacaktır !

Datalife Engine CMS































WebMaster Platformu































Oyun Platformu
















Bilgi # Eğitim Platformu































Şarkı / Müzik Platformu