Merhaba arkaşlar bu yazımda sizlere SQL Injection'dan bahsedeceğim;
SQL Injection web uygulamalarındaki en kritik açıkların başında gelmektedir.
Dünyadaki en büyük markalarda, devlet ve askeri kurumların web sitelerinde hala bu açıklar mevcuttur. Günümüzde birçok web yazılımcıları SQL dilini ve SQL Injection'ı tam bilmedikleri site ve veri tabanı arasındaki bilgi alış-verişini tam olarak güvenli bir şekilde yapamamaktadırlar. Bunun için SQL ve SQL Injection ile olan işlemler belirli başlık ve seviyelerden oluşmaktadır. Dünyadaki genel olarak web geliştiricileri eğer ben açık bulamadıysam kimse bulamaz modunda olmaktadırlar.
Aslında bunun böyle olmadığını kendi geliştirdikleri sistemler hack edilince anlıyorlar. SQL Injeciton'a genelde web yazılımcılarının yazdıkları SQL cümleleri arasına sıkıştırdıklar meta karaterler neden olmaktadır.
SQL'in meta karakteri (') tek tırnaktır. İki tırnağın arasını veritabanı string olarak algılar. Yazdığınız bir SQL cümlesini sonlandırmak için ise (;) noktalı virgül ile sonlandırılır. Peki bu karakterlerden nasıl kurtulacaz diyorsanız;
Bunlara en güzel çözüm yaptığınız her form'da SQL için önemli olan karakterleri filtrelemektir. Genelde yönetici giriş formları ve arama kutuları içersinde önlem alınmamasından dolayı bu sistemler SQL Injection'a maruz kalmaktadırlar.
Peki bu saldırılardan kurtulmak için neler yapabiliriz.
1: Sistemdeki tüm formları filtrelemek,
2: Kurduğumuz sistemlerde Firewall kullanmak { Arkadaşlar Firewall'ı aşmakta mümkün sakın sanmayınızki Firewall kurulan bir sistem hack edilemez diye !},
3: Her zaman bize lazım olanları kullanalım, ekstra'dan bu bize birgün lazım olur mantığı ile hareket etmeyelim.
Tabiki bunların haricinde sunucu güvenliğimizide sağlamamız lazım.
İlerleyen zamanlarda sizlere sistemlere nasıl saldırıldığını ve SQL hatalarını geçmeyi gösterdiğim zaman SQL Injection'ın neden günümüzdeki web uygulamalarındaki
en büyük tehdit olduğunu anlayacaksınız.
Bu makale r4dBlack tarafından hazırlanmıştır. Kaynak gösterilerek bir kısmından veya tamamından alıntı yapılabilir.
http://r4dblack.blogspot.com
Hiç yorum yok:
Yorum Gönder