Sen burayı gördün, başkası da görecek. Teklifini gönder, sitenin kahramanı ol.

Sponsor'un katkılarıyla...

SQL Aşılama

SQL Aşılama

SQL Aşılama; hassas verileri okuma, veri tabanını değiştirme (ekleme/güncelleme/silme), veritabanında yetki gerektiren komutlar çalıştırma (veritabanını kapatmak gibi), dosya sisteminde veri geri döndürme ve işletim sisteminde komutlar çalıştırma gibi işlemleri hedefleyen aşılama türü saldırıdır.

/ 19.05.1919?

Yazar:
SonDevrimBu Yazı
Toplam284212194
Bugün102

SQL Aşılama

Sponsor'un katkılarıyla...

Markanız için 300X300 alan.

Reklamı kapat görseli

Bu sayfanın iyi anlaşılabilmesi için Aşılama Teorisi temeli anlaşılmış olmalı.

SQL Aşılama; hassas verileri okuma, veri tabanını değiştirme (ekleme/güncelleme/silme), veritabanında yetki gerektiren komutlar çalıştırma (veritabanını kapatmak gibi), dosya sisteminde veri geri döndürme ve işletim sisteminde komutlar çalıştırma gibi işlemleri hedefleyen aşılama türü saldırıdır.

SQL Aşılama - Tehdit Biçimlendirmesi

  • SQL aşılama saldırısı, saldırganlara kimlik dinleme, verileri kurcalama, reddedilme sorunlarına yol açan boş işlemler ya da tutar değişikliklerine neden olma, sistemdeki tüm verinin açığa çıkmasına neden olma, verileri yok etme ya da kullanılamaz duruma getirme ve saldırganın sunucunun yöneticisi olmasına neden olur.
  • PHP ve ASP yazılımları eski işlevsel arayüzler olduğundan SQL aşılamaya daha yatkındırlar. Yazılımsal arayüzlerin varlığından dolayı J2EE ve ASP.NET SQL aşılamaya karşı görece daha dayanıklıdır.
  • SQL aşılamanın şiddeti saldırganın yetenek ve hayal gücüyle sınırlıdır; az ise, derin savunma önlemleri, veritabanına düşük yetkili bağlantılarla ve benzeri ile sınırlıdır. Genel olarak SQL aşılama yüksek etkili olarak düşünülmelidir.

SQL Aşılamanın Tanımlanması

SQL aşılama iki biçimde olur :

  • Yazılıma güvenilmeyen bir kaynaktan veri girdiğinde (Güvenilmeyen Veri Kullanımı).
  • Veri dinamik olarak SQL sorgusu oluşturuyorsa.

Sonuçları ise şunlardır :

  • Gizlilik : SQL veritabanları genellikle hassas veri tuttuğundan ötürü SQL aşılama yüzünden gizliliğin ortadan kalkması sık karşılaşılan bir durumdur.
  • Yetkinlik : Eğer basit SQL komutları ile kullanıcıların adları ve şifreleri sınanabiliyorsa herhangi bir kullanıcının bilgileri önceden bilinmediği halde sisteme o başka bir kullanıcı gibi giriş yapılabilir.
  • Yetkililik : Eğer yetki bilgisi SQL veritabanında bulunuyorsa SQL aşılamanın doğru kullanımıyla bu bilgi değiştirilebilir.
  • Bütünlük : Hassas verilerin okunabildiği durumlarda SQL aşılama ile verilerin değiştirilebilmesi ve hatta silinmesi de gerçekleştirilebilir.

SQL Aşılama Önleme Yöntemleri

SQL aşılama sunucu tarafındaki tamga dönüşümleriyle şu 3 kolay adımla önlenebilir :

  • Yasak tamgaların dönüştürülmesi (ya da en iyisi uzaklaştırılmasıyla).
  • Yasak sözcüklerin (SQL komutlarının) uzaklaştırılmasıyla.
  • İzin verilen tamgaların dışındaki tamgaların dönüştürülmesi (ya da uzaklaştırılmasıyla).

Yukarıdaki adımların herhangi birinde istenmeyen bir koşulla karşılaştığınızda güvenlik gerekçesiyle işlemi sonlandırmayı da seçebilirsiniz.


Yukarıda gösterilen çözümler ilerleyen sayfalarda ayrıntılı olarak gösterilmiş ve örneklendirilmiştir. Belgeleri sırasıyla okumanız sizin yararınızadır.


Stored Procedure kullanımı SQL aşılamaya karşı etkili olsa da bazı saldırılar bu önlemin çevresinden dolaşabilir. Stored Procedure kullanımı yine de yararınızadır.

Sunucuya gelen kullanıcı bağlantıları (verileri - sorgu satırları) GÜVENLİ BİÇİMDE veritabanı dışındaki bir kaynakta kayıt altına alınıyor olmalı (LOG Kayıtları - Günlükler). Başarılı bir saldırı gerçekleşmesi durumunda günlükteki kayıtlar geriye doğru incelenerek başarılı saldırı belirlenip önlem alınabilir.

Reklamı kapat görseli

Görüş Bildirin?

Toplam Oy Sayısı : Şimdilik hiç oy verilmemiş.

Ortalama Oy Değeri : Verilen oyun geçerli olması için yapılan yorumun onaylanması gerekiyor.

Görüşler yükleniyor . . .

Yorum Ekle?

1000
SQL Aşılama