Sql Açığı Nasıl Oluşturulur ?

akla46 · 9 Eki 2023

Selamün aleyküm efenim heryerde deniliyor sql açığı sömürme vs ama bu açık peki nasıl oluşuyor biraz araştırdım ama sizede sormak istedim

'HYPERS · 9 Eki 2023

Database de sql sorgularını hepsini yerine getirmezsen başka biri injection yapıp veri dışarı çıkarabilir eğer developer tam olarak bunları yerine getirmezse sorunlar ortaya çıkar sonrada malum database leak edilmiş olur.

V3YS0Z · 9 Eki 2023

akla46' Alıntı:
Selamün aleyküm efenim heryerde deniliyor sql açığı sömürme vs ama bu açık peki nasıl oluşuyor biraz araştırdım ama sizede sormak istedim

Merhaba akla46,

SQL Açıkları büyük bir çoğunlukla "back end" kısmında yapılan kod hatalarından kaynaklanır, basit olarak anlatmak gerekirse veri girişi olan bölümlere girilen veriler(kullanıcı adı, şifre, arama butonu) direkt sorgu olarak eklenmeden önce işlenmelidir.

Hatalı Kod: input_username = input("Kullanıcı adını girin: ")query = "SELECT * FROM users WHERE username='" + input_username + "'"
Örnek Kod: input_username = input("Kullanıcı adını girin: ")query = "SELECT * FROM users WHERE username=%s"cursor.execute(query, (input_username,))

Diğer bir kod eksiği de istenilen şekilde girilmeyen veri karşısında döndürülecek çıktıdır.

Örnek sorun: e-posta bölümüne sadece rakam veya yazı girmek vb

Diğer ihtimaller de kullanılan yazılımların, eklentilerin vb. güvenlik açığı olan eski sürümlerinin kullanılmasından kaynaklanabilir.

İyi Forumlar...

akla46 · 9 Eki 2023

V3YS0Z' Alıntı:
Merhaba akla46,

SQL Açıkları büyük bir çoğunlukla "back end" kısmında yapılan kod hatalarından kaynaklanır, basit olarak anlatmak gerekirse veri girişi olan bölümlere girilen veriler(kullanıcı adı, şifre, arama butonu) direkt sorgu olarak eklenmeden önce işlenmelidir.

Hatalı Kod: input_username = input("Kullanıcı adını girin: ")query = "SELECT * FROM users WHERE username='" + input_username + "'"
Örnek Kod: input_username = input("Kullanıcı adını girin: ")query = "SELECT * FROM users WHERE username=%s"cursor.execute(query, (input_username,))

Diğer bir kod eksiği de istenilen şekilde girilmeyen veri karşısında döndürülecek çıktıdır.

Örnek sorun: e-posta bölümüne sadece rakam veya yazı girmek vb

Diğer ihtimaller de kullanılan yazılımların, eklentilerin vb. güvenlik açığı olan eski sürümlerinin kullanılmasından kaynaklanabilir.

İyi Forumlar...

teşşekür ederim hocam

'HYPERS' Alıntı:
Database de sql sorgularını hepsini yerine getirmezsen başka biri injection yapıp veri dışarı çıkarabilir eğer developer tam olarak bunları yerine getirmezse sorunlar ortaya çıkar sonrada malum database leak edilmiş olur.

teşşekür ederim

Sql Açığı Nasıl Oluşturulur ?

akla46

Katılımcı Üye

'HYPERS

Üye

V3YS0Z

Kıdemli Üye

akla46

Katılımcı Üye

Sosyal medya sayfalarımız