bugün
- vexillarius the slayer'in ırkı6
- ben ahmet sezer bey sorularınızı yanıtlıyorum15
- sedat pekmez adam mıdır5
- sözlüğün en güzel kız yazarı4
- kitap okuyan erkek10
- erkeklerin fetişleri8
- buddy dude'nin fotosunun yapay zeka çıkması28
- üniversite okumak5
- birader yazarlar biraderdirler3
- ctrlx abla4
- cilgincapkin5
- ktç'ye öfkelenmek3
- kendinden korkmak3
- hem ayranım döküldü hem de kötü şeyler oldu4
- ai analiz10
- uyuşturucu kullanan oğlunu öldüren baba19
- bugün hangi sözlük kızına evlenme teklif etsem11
- tayt erkeklerin yaşam sevincidir2
- 40 yaşını aşmış bunaklar kulübü12
- antipanik2
- 27 bin başlık açmış yazar2
- silvermist8
- hiçbir şeyin zevk vermemesi4
- nervio abla2
- kartoncu abi2
- mezarlıkta yer kavgası2
- bok kokusunu sevmek5
- gocu buraya bak koçum3
- reha muhtar denince akla gelenler6
- en iyi erkek mesleği4
- ahmet sezer bey5
- mültecilerin büyük penisli olması4
- sözlükteki kuşak çatışması7
- tekerleg han2
- ekonomi çok iyi11
- vurdurmak moda olsa vurdurur musunuz6
- sevgili yazarlar biz burada ne yapıyoruz amk2
- anın görüntüsü25
- kemal kılıçdaroğlu'nun adam gibi adam olması5
- eski sevgili akla gelince yüzdeki mimik3
- biriyle konuşurken aniden 7 kere 8 demek2
- bir kız için intihar etmek3
- buddy dude18
- en gıcık olunan hayvan6
- ben aquila bicipite sorularınızı yanıtlıyorum28
- çayı kaç şekerli içiyorsunuz13
- ktç'nin hala hayatta olması10
- kadınların erkeklerde aradıkları şeyler8
- sözlük botlarının artık abartması6
- ne yapıyordur acaba2
sql sorgunuza disaridan* dahil edeceginiz veriler araciliyla yapilan hain saldiri denemesi cesididir. onlem alinmazsa siteniz hacked by yazisi ile dolup tasabilir, zone h org diyarlarinda reklam olabilir.
en bilineni ve en basidi kullanıcı adı ve şifre yerine 'or''=' yazarak gerçekleştirilenidir. halen bu kodu yiyen site bulursanız webmasterına selam edin.
web sitelerinin (dinamik) kullanıcı giriş panelleri gibi siteye giriş yapmak istenilen bölümlerinden veya direk linklerden, web site içerisinde çalışan sql sorgulara müdahale edilmesiyle site de belirli haklara sahip olmak için kullanılan hacking yöntemi.
kodlamada yapılan dikkatsizliklerin,unutkanlıkların,acemiliklerin yol açtığı zaafiyetin sebep oldugu url'den yada inputlardan veritabanına sorgu yaparak bilgi elde etmeye,bilgi eklemeye imkan tanıyan olayın ismi.
genel olarak or = satırı ile yapılırken aynı zamanda sql in comment our özelliği -- ile kullanılabilir. Hala bir çok sitede etkilidir. Ha kime ne faydası olur bunu yapmanın o ayrı konu.
kullanıcıdan alınan veri ile dinamik sql cümlecikleri oluşturur ve web master işin ehli değilse sitelerin en ciddi açıkların başında gelir.
genelde embesil lamerlerin kullandığı bir yöntem. özellikle hazır scriptler üzerinde uygulanır üretmek yerine yıkmayı tercih eden çoluk çocuğun işidir.
p.zevenk hacker'ların kullandığı ucuz yöntem.
zamanında bir çok "büyük" sitenin çökmesine sebep olan ucuz yöntem. Şu zamanda da sql enjeksiyonu yapılmaktadır, ama enjeksiyon kodları artık bir insanın yazamayacağı kadar karmaşık... Bunun için araç-gereç, alet-erdavat kullanılıyor.
lamerlerin en büyük silahlarından biri olan yöntem. acemi webmasterlerin başbelasıdır.
büyük sitelerin bile hacklenmesine sebebiyet verecek bir yöntem. nato, nasa gibi kurumların siteleri bu yöntemle hacklenmiştir.
en önemli hack yollarından biridir. nasıl yapıldığına dair bir makale:
http://teknolog.radikal.c.../redhack-nasil-hackliyor/
http://teknolog.radikal.c.../redhack-nasil-hackliyor/
SQL injection, hazırlanmış bir programın kullanıcı ile etkileşime girdiği input alanlarına, sorguları değiştirmek şeklinde yapılır ve saldırının temel hedefi kullanıcı ile etkileşimde yapılan, kaydetme,giriş kontrolü,verileri açıklama sorgularıdır.
Sql injection saldırılarından korunmak için, bu etkileşim alanlarına (input, kullanıcının klavyeden gidi yapabildiği alanlar) bir denetim getirmektir. Öncelikle javascript ile hazırlanmış bir form kontrolü, ardından da özel karakterleri değiştiren ya da önlerine onları zararsız kılan ters slash karatkeri (\) ekleyen fonksiyonlar ile kontrolünü sağlayarak önüne geçebilirsiniz.
Sql injection saldırılarından korunmak için, bu etkileşim alanlarına (input, kullanıcının klavyeden gidi yapabildiği alanlar) bir denetim getirmektir. Öncelikle javascript ile hazırlanmış bir form kontrolü, ardından da özel karakterleri değiştiren ya da önlerine onları zararsız kılan ters slash karatkeri (\) ekleyen fonksiyonlar ile kontrolünü sağlayarak önüne geçebilirsiniz.
Sözlüğümüzün korkulu rüyası olmuştur.
sözlükte orasını burasını paylaşanları ifşa eder bazen. uslu durmaz canlı bişi heralde.
Saldırgan, uygulama üzerinde kullanıcı giriş ifadesine SQL ifadeleri ekleyerek güvenlik açığı arar. Bunu gerçekleştirebilmek için SQL ifadelerini ve sözdizimini yeteri kadar bilmek gerekir. Aşağıdaki kod satırı, bu güvenlik açığını göstermektedir:
sorgu = "SELECT * FROM kullanicilar WHERE isim =' " + kullaniciAdi + " ';"
Yukarıdaki SQL sorgusunda kullaniciAdi alanına kullanıcı girdisi gelecektir, bu girdiye göre veritabanında arama yapılacak ve sonuç olumlu ise yazılımcının belirlediği işlemler gerçekleşecektir. Bu işlemler muhtemelen arayüzünde kullanıcıAdi verisi girişi için bir alana sahip ve bu veriye göre sisteme dahil edilme işlemini ayarlayan uygulama yazılımıdır. Arka planda girilen veriye göre veritabanında karşılaştırma yapacak ve veri veritabanında bulunuyor ise sisteme giriş sağlanacak, bulunmuyor ise sağlanmayacaktır. Günümüzde uygulamalar güvenliğin daha üst düzey olması için kullanıcı adı verisinin yanında parola da istemektedirler. Burada SQL Injection atağının etkili olabileceği bir açık varsa aşağıdaki şekilde:
' or '1'='1
SQL verisini giriş verisi olarak gönderir isek uygulama tabanında çalışacak sorgu:
sorgu = "SELECT * FROM kullanicilar WHERE isim =' " + kullaniciAdi ' or '1' = '1 + " ';"
şeklinde olur. kullaniciAdi verisi ne olursa olsun '1'='1' koşulu sağlanacağından ve aradaki işlemin OR olmasından dolayı sorgu sonucu her zaman olumlu olacaktır ya da SQL sözdiziminin yorum satırı haline getirme karakterlerini kullanarak:
' or '1'='1' --
' or '1'='1' ({
' or '1'='1' /*
olumlu sonuç elde edilir. Bu karakterlerden sonra gelen tüm karakterler yorum niteliği kazanacaktır ve bir önemi kalmayacaktır.
olay bu arkadaşlar.
sorgu = "SELECT * FROM kullanicilar WHERE isim =' " + kullaniciAdi + " ';"
Yukarıdaki SQL sorgusunda kullaniciAdi alanına kullanıcı girdisi gelecektir, bu girdiye göre veritabanında arama yapılacak ve sonuç olumlu ise yazılımcının belirlediği işlemler gerçekleşecektir. Bu işlemler muhtemelen arayüzünde kullanıcıAdi verisi girişi için bir alana sahip ve bu veriye göre sisteme dahil edilme işlemini ayarlayan uygulama yazılımıdır. Arka planda girilen veriye göre veritabanında karşılaştırma yapacak ve veri veritabanında bulunuyor ise sisteme giriş sağlanacak, bulunmuyor ise sağlanmayacaktır. Günümüzde uygulamalar güvenliğin daha üst düzey olması için kullanıcı adı verisinin yanında parola da istemektedirler. Burada SQL Injection atağının etkili olabileceği bir açık varsa aşağıdaki şekilde:
' or '1'='1
SQL verisini giriş verisi olarak gönderir isek uygulama tabanında çalışacak sorgu:
sorgu = "SELECT * FROM kullanicilar WHERE isim =' " + kullaniciAdi ' or '1' = '1 + " ';"
şeklinde olur. kullaniciAdi verisi ne olursa olsun '1'='1' koşulu sağlanacağından ve aradaki işlemin OR olmasından dolayı sorgu sonucu her zaman olumlu olacaktır ya da SQL sözdiziminin yorum satırı haline getirme karakterlerini kullanarak:
' or '1'='1' --
' or '1'='1' ({
' or '1'='1' /*
olumlu sonuç elde edilir. Bu karakterlerden sonra gelen tüm karakterler yorum niteliği kazanacaktır ve bir önemi kalmayacaktır.
olay bu arkadaşlar.
Artık sql injection ile açık veren site kalmadı sanıyordum şu ana kadar. Zall sağolsun haksız çıkardı.
Ayrıca hashing olayından da haberi olmadan şifrelerimizi db'de saklıyormuş. Canı sağolsun.
Ayrıca hashing olayından da haberi olmadan şifrelerimizi db'de saklıyormuş. Canı sağolsun.
birçok sistemde var olan açıktır fakat açığın kaynaklandığı dizini bulmak ve kapatmak biraz sıkıntılıdır. sözlük de insan yapımı olduğu için mutlaka açıklar olacaktır ve önemli olan bu açıkları minimum seviyeye indirmektir. kapatmak demiyorum, hiçbir sistemin açığı tam olarak kapatılamaz mutlaka sistemde açıklar olacaktır. önemli olan ise bu açıkların bulunduğu takdirde yönetime konu hakkında bilgi vermektir.
(bkz: nasılsa anlamıyoz salla amq)
enceksiyonlu arabalarda denişik bir firen sistemine verilen flemenkce isimdir.
enceksiyonlu arabalarda denişik bir firen sistemine verilen flemenkce isimdir.
Hekliyo muyuz gençler?
Edit: bir entrym için tanım yap şeklinde moderatörden uyarı aldım.
Bari bu entrym için de bir endüstri mühendisi olarak siz değerli sözlük yazarları için tanım yapayım.
Sql injection; acemilerin elinden çıkan sitelerin hack edilebilme sebeplerinden biridir..
Edit: bir entrym için tanım yap şeklinde moderatörden uyarı aldım.
Bari bu entrym için de bir endüstri mühendisi olarak siz değerli sözlük yazarları için tanım yapayım.
Sql injection; acemilerin elinden çıkan sitelerin hack edilebilme sebeplerinden biridir..
(bkz: esküel inekşın)
user name ve pass e genelde en basidinden or 1 = 1 yazarsınız or olduğundan sql yer * tabi bunlar eskide kaldı kolay değil artık.
açığı çok tehlikelidir.
Gündemdeki Haberler
güncel Önemli Başlıklar