SQL Injection tam ifadesi Structured Query Language Injection' dur. SQL Injection, web sayfalarının kodlarında bulunan açıkları kullanarak SQL sorgusu ve komutu göndererek siteye sızma, dataları bulma, slime veya değiştirme işlemidir.

SQL Injection Nedir? SQL Injection Nasıl Yapılır? SQL Injection tan Nasıl Korunulur?

SQL Injection Nedir? SQL Injection Nasıl Yapılır? SQL Injection tan Nasıl Korunulur? 

SQL Injection tam ifadesi Structured Query Language Injection' dur. SQL Injection, web sayfalarının kodlarında bulunan açıkları kullanarak SQL sorgusu ve komutu göndererek siteye sızma, dataları bulma, slime veya değiştirme işlemidir. Bir veri tabanı güvenlik açığı olarak adlandırılan SQL Injection saldırısı ile web sitenize, uygulamanıza dışarıdan yetkisiz olarak veri tabanınıza sızılabilmektedir.SQL Injection, günümüzde hackerların en çok  kullandığı, en çok bilinen ve yaygın olarak kullanılan saldırı türüdür. Veritabanı kullanılan birçok sitede bulunmaktadır. SQL Injection açıkları yazılan SQL kodlardan meydana gelmektedir ve yine bu kodlar dikkatsizlik ve yanlış kodlama sonucu oluşmaktadır. SQL Injection yöntemi ile bir web uygulamasının tüm veri bilgileri çalınabilir, web uygulaması hacklenebilmektedir. Ayrıca sql kodlarındaki bu açıklar küçük sitelerden tutun büyük firma sitelerine kadar tüm sistemlerde olabilmektedir. Daha ileri gidersek SQL açıkları bazı hazır sistemlerde bile bulunabilmektedir. 

Peki Sql Injection Nasıl Yapılır?

En basit örneğiyle anlatmak gerekirse öncelikle ASP, JSP, CGI veya PHP gibi sayfalar aramalısınız. Özellikle aşağıdaki gibi parametre alan sayfalara dikkat edin:

http://www.example.com/index.asp?id=10

En çok kullanılan tek tırnak hilesiyle başlayabilirsiniz. Bunun için input alanına hey’ or 1=1– girin. Örnek:

Kullanıcı adı: hey’ or 1=1–

Şifre: hey’ or 1=1–

http://www.example.com/index.php?id=hey’ or 1=1–

Adres satırına yazacağınız bir iki kod ile veritabanına erişemk mümkün olabiliyor. Sorguların başına ekleyeceğiniz buun gibi ufak kodlar ile bir çok bilgiye erişemk mümkün olabilmektedir. 

SQL Injection Saldırıları Önlemek için İpuçları;

1- Cookie değerleri dahil olmak üzere tüm kullanıcı girişleri için güçlü bir sunucu taraflı doğrulama uygulayın.

2- Kullanıcı girdilerinde özel karakterlerden kaçın veya filtreleme yapın.

3- Mümkün olduğunca stored procedure kullanın.

4- Parametreli sorgu veya ORM kullanın.

5- Sql Server exec komutunu kullanmaktan kaçının.

6- Uygulama içinden veritabanına bağlanmak için sa kullanıcısını kullanmaktan kaçının. Sorguları çalıştırmak için düşük özellikli bir hesap kullanmaya dikkat edin.

Yazar: Mehmet Can Şentürk

Bu İçeriğe Tepki Ver (en fazla 3 tepki)