SQL enjeksiyonu

SQL enjeksiyonu, veri tabanına dayalı uygulamalara saldırmak için kullanılan bir atak tekniğidir; burada saldırgan SQL dili özelliklerinden faydalanarak standart uygulama ekranındaki ilgili alana yeni SQL ifadelerini ekler. (Örneğin saldırgan, veritabanı içeriğini kendisine aktarabilir).^[1] SQL enjeksiyonu, uygulamaların yazılımları içindeki bir güvenlik açığından faydalanır, örneğin, uygulamanın kullanıcı giriş bilgileri beklediği kısma SQL ifadeleri gömülür, eğer gelen verinin içeriği uygulama içerisinde filtrelenmiyorsa veya hatalı şekilde filtreleniyorsa, uygulamanın, içine gömülmüş olan kodla beraber hiçbir hata vermeden çalıştığı görülür. SQL enjeksiyonu, çoğunlukla web siteleri için kullanılan bir saldırı türü olarak bilinse de SQL veri tabanına dayalı tüm uygulamalarda gerçeklenebilir.

SQL enjeksiyon saldırıları, saldırganların, sistemdeki kullanıcılardan birinin bilgileriyle giriş yapmasına, mevcut verilere müdahale etmesine, bazı işlemleri iptal etmesine veya değiştirmesine, veritabanındaki tüm verileri ifşa etmesine, veritabanındaki tüm verileri yok etmesine, veritabanı sunucusunda sistem yöneticisi olmasına olanak sağlar.

SQL enjeksiyonu, SQL alt dilini kullanan PHP, ASPX gibi birçok programlama dili üzerinde görülebilmektedir. Bu atak tekniği, SQL dili kullanılan sistemlerde genellikle GET ve POST verileri gönderilir ve alınırken yapılmayan filtrelemeler sebebiyle ortaya çıkar.

2012'de yapılan bir araştırmada, bir web uygulamasının ayda ortalama 4 saldırı aldığı ve perakendecilerin diğer endüstrilerden iki kat fazla saldırı aldığı görülmüştür.^[2]

^ "SQL Injection". Microsoft. 2 Ağustos 2013 tarihinde kaynağından arşivlendi. Erişim tarihi: 4 Ağustos 2013. SQL injection is an attack in which malicious code is inserted into strings that are later passed to an instance of SQL Server for parsing and execution. Any procedure that constructs SQL statements should be reviewed for injection vulnerabilities because SQLi Server will execute all syntactically valid queries that it receives. Even parameterized data can be manipulated by a skilled and determined attacker.
^ "Imperva Web Application Attack Report" (PDF). 17 Nisan 2016 tarihinde kaynağından (PDF) arşivlendi. .

[1] "SQL Injection". Microsoft. 2 Ağustos 2013 tarihinde kaynağından arşivlendi. Erişim tarihi: 4 Ağustos 2013. SQL injection is an attack in which malicious code is inserted into strings that are later passed to an instance of SQL Server for parsing and execution. Any procedure that constructs SQL statements should be reviewed for injection vulnerabilities because SQLi Server will execute all syntactically valid queries that it receives. Even parameterized data can be manipulated by a skilled and determined attacker.

[2] "Imperva Web Application Attack Report" (PDF). 17 Nisan 2016 tarihinde kaynağından (PDF) arşivlendi. .

[1]

[2]

SQL enjeksiyonu

From Wikipedia, the free encyclopedia · View on Wikipedia