Selam dostlarım uzun bir aradan sonra yine ben @sessizejder
hadi başlayalım
Konumuz sql injection,
SQL açıkları (özellikle SQL Injection) web uygulamalarında en yaygın ve tehlikeli güvenlik zafiyetlerinden biridir. Kullanıcı girdilerinin doğru filtrelenmemesi sonucu saldırganlar veri tabanına zararlı sorgular enjekte ederek yetkisiz erişim, veri çalma veya sistem ele geçirme gibi sonuçlara yol açabilir.hadi başlayalım
Konumuz sql injection,
Türleri
| tür | açıklama | risk |
| Classic SQL Injection | Doğrudan sorguya zararlı kod eklenmesi | Veri sızıntısı, yetkisiz erişim |
| Blind SQL Injection | Hata mesajı vermeyen sistemlerde mantıksal testlerle veri çıkarma | Gizli veri elde etme |
| Union-based SQL Injection | UNION komutu ile farklı tabloların verilerini birleştirme | Hassas bilgilerin açığa çıkması |
| Error-based SQL Injection | Hata mesajlarını kullanarak veri tabanı yapısını öğrenme | Sistem keşfi |
| Out-of-band SQL Injection | Veri tabanının dış kaynaklara (DNS, HTTP) veri göndermesiyle bilgi toplama | Gelişmiş veri sızıntısı |
Olası Sonuçları
Kimlik doğrulama atlatma:Admin paneline giriş yapılabilir.
Veri hırsızlığı: Kullanıcı bilgileri, şifreler, kredi kartı verileri çalınabilir.
Veri manipülasyonu: Tabloya yeni kayıt ekleme, silme veya değiştirme
Sunucu kontrolü: Bazı durumlarda işletim sistemi komutları çalıştırılarak sunucu tamamen ele geçirilebilir.
Kimlik doğrulama atlatma:Admin paneline giriş yapılabilir.
Veri hırsızlığı: Kullanıcı bilgileri, şifreler, kredi kartı verileri çalınabilir.
Veri manipülasyonu: Tabloya yeni kayıt ekleme, silme veya değiştirme
Sunucu kontrolü: Bazı durumlarda işletim sistemi komutları çalıştırılarak sunucu tamamen ele geçirilebilir.
SQL Injection Test Araçları
1. sqlmap
En popüler ve açık kaynaklı otomatik SQLi aracı.
Parametre taraması, DB motoru tespiti, veri çıkarma, hatta OS komut çalıştırma testleri yapabilir.
Avantaj: Hızlı, kapsamlı, scriptlenebilir.
2. Havij
GUI tabanlı, daha kullanıcı dostu bir SQLi aracı.
Veri tabanı keşfi ve tablo/kolon çıkarma için pratik.
Avantaj: Görsel arayüz, hızlı öğrenme eğrisi.
3. jSQL Injection
Java tabanlı, hafif ve taşınabilir.
GET/POST parametreleri, header ve cookie testleri yapabilir.
Avantaj: Platform bağımsız, basit kullanım.
4. NoSQLMap
NoSQL veri tabanları (MongoDB, CouchDB vb.) için injection test aracı.
Avantaj: Klasik SQL dışındaki modern DB sistemlerini kapsar.
5. Burp Suite (Pro + Extensions)
Manuel testler için proxy, repeater, intruder modülleri.
SQLiPy gibi eklentilerle SQLi testlerini otomatikleştirebilir.
Avantaj: Hem manuel hem otomatik testleri birleştirme.
6. OWASP ZAP
Açık kaynaklı web güvenlik tarayıcısı.
SQLi payloadlarını otomatik dener, rapor üretir.
Avantaj: Ücretsiz, sürekli güncellenen topluluk desteği.
1. sqlmap
En popüler ve açık kaynaklı otomatik SQLi aracı.
Parametre taraması, DB motoru tespiti, veri çıkarma, hatta OS komut çalıştırma testleri yapabilir.
Avantaj: Hızlı, kapsamlı, scriptlenebilir.
2. Havij
GUI tabanlı, daha kullanıcı dostu bir SQLi aracı.
Veri tabanı keşfi ve tablo/kolon çıkarma için pratik.
Avantaj: Görsel arayüz, hızlı öğrenme eğrisi.
3. jSQL Injection
Java tabanlı, hafif ve taşınabilir.
GET/POST parametreleri, header ve cookie testleri yapabilir.
Avantaj: Platform bağımsız, basit kullanım.
4. NoSQLMap
NoSQL veri tabanları (MongoDB, CouchDB vb.) için injection test aracı.
Avantaj: Klasik SQL dışındaki modern DB sistemlerini kapsar.
5. Burp Suite (Pro + Extensions)
Manuel testler için proxy, repeater, intruder modülleri.
SQLiPy gibi eklentilerle SQLi testlerini otomatikleştirebilir.
Avantaj: Hem manuel hem otomatik testleri birleştirme.
6. OWASP ZAP
Açık kaynaklı web güvenlik tarayıcısı.
SQLi payloadlarını otomatik dener, rapor üretir.
Avantaj: Ücretsiz, sürekli güncellenen topluluk desteği.
| araç | indirme linkleri |
| sqlmap | |
| hvij |
GitHub - MyIBGit/Havij-SQL-Injection-tool: Automated SQL Injection toolAutomated SQL Injection tool. Contribute to MyIBGit/Havij-SQL-Injection-tool development by creating an account on GitHub.
github.com
|
| jSQL Injection |
GitHub - ron190/jsql-injection: jSQL Injection is a Java application for automatic SQL database injection.jSQL Injection is a Java application for automatic SQL database injection. - ron190/jsql-injection
github.com
|
| NoSQLMap |
GitHub - codingo/NoSQLMap: Automated NoSQL database enumeration and web application exploitation tool.Automated NoSQL database enumeration and web application exploitation tool. - codingo/NoSQLMap
github.com
|
| Burp Suite (Community Edition) |
Download Burp Suite Community Edition - PortSwiggerBurp Suite Community Edition is PortSwigger's essential manual toolkit for learning about web security testing. Free download.
portswigger.net
|
| OWASP ZAP |
ZAP – DownloadThe world’s most widely used web app scanner. Free and open source. ZAP is a community project actively maintained by a dedicated international team, and a GitHub Top 1000 project.
www.zaproxy.org
|
1. Parametre Tespiti
URL query parametreleri (id=, cat=, page=).
Form inputları (username, password, search).
Cookie değerleri (sessionid, auth).
HTTP header’ları (User-Agent, Referer, X-Forwarded-For).
2. Basit Payload Testleri
Tek tırnak (') → hata mesajı kontrolü.
Çift tırnak (") → hata mesajı kontrolü.
OR 1=1-- → login bypass denemesi.
AND 1=2 → boolean tabanlı test.
3. Hata Mesajı Analizi
"You have an error in your SQL syntax"
"Warning: mysql_fetch_array()"
"Unclosed quotation mark after the character string"
4. Union-based Testler
UNION SELECT NULL,NULL → kolon sayısı keşfi.
ORDER BY 1,2,3... → kolon sayısı belirleme.
Görsel işaretleme (UNION SELECT 'TEST',NULL,...).
5. Blind SQL Injection Testleri
Boolean-based: AND 1=1, AND 1=2.
Time-based: AND SLEEP(5) (MySQL), pg_sleep(5) (PostgreSQL).
6. Gelişmiş Testler
Out-of-band (OOB): DNS/HTTP tetikleme (izinli ortamlarda).
WAF bypass: /**/, %0a, UNI/**/ON.
Tip bozma: id=abc veya id=1.0.
Önerilen Videolar
1. Hazır Sorgular (Prepared Statements)
Kullanıcı girdileri doğrudan SQL sorgusuna eklenmemeli.
Parametreler bağlanarak çalıştırılmalı.
2. Stored Procedures
Sorgular uygulama kodu yerine veri tabanında tanımlanır.
Parametreler prosedüre güvenli şekilde aktarılır.
Dezavantaj: Yanlış yazılmış prosedürler yine riskli olabilir, ama kontrol daha merkezi hale gelir.
3. Input Validation (Girdi Doğrulama)
Beklenen format dışındaki girdiler reddedilmeli.
Örnek: id parametresi sadece sayısal değer kabul etmeli.
Whitelist yaklaşımı: izin verilen karakter seti dışında hiçbir şey kabul edilmemeli.
4. Minimum Yetki (Least Privilege)
Uygulama kullanıcılarının veri tabanında sadece gerekli izinleri olmalı.
Örneğin: Web uygulaması kullanıcısı DROP TABLE veya CREATE USER yetkisine sahip olmamalı.
Bu sayede bir açık olsa bile zarar minimize edilir.
5. Hata Mesajlarını Gizlemek
Kullanıcıya SQL hata mesajları gösterilmemeli.
Örnek: "You have an error in your SQL syntax" gibi mesajlar saldırgana ipucu verir.
Bunun yerine genel hata mesajı: "Bir hata oluştu, lütfen tekrar deneyin."
6. Web Application Firewall (WAF)
SQL Injection payloadlarını tanıyıp engelleyen ek güvenlik katmanı.
Özellikle dışarıya açık sistemlerde faydalıdır.
Ama tek başına çözüm değildir, uygulama kodu da güvenli olmalı.
7. ORM Kullanımı
Modern framework’lerde (Django ORM, Laravel Eloquent, Hibernate) sorgular otomatik parametrik hale gelir.
Doğru kullanıldığında SQL Injection riskini büyük ölçüde azaltır.
8. Güvenlik Testleri ve Eğitim
Statik kod analizi (SAST) ve dinamik test (DAST) araçlarıyla düzenli tarama.
Geliştiricilere güvenli kodlama eğitimi verilmesi.
OWASP Top 10 farkındalığı.
Moderatör tarafında düzenlendi:
