Bugun SQL Injection Açigini Tespit Etmeyi Ögreticem.
Arkadaşlar Belki Bilen Vardir Benim Bilgisayarim Yok :)
Gönül isterdiki havijle hacklemeyide göstereyim havij windows tabanli bir program oldugu için havijle gösteremicem ama telefonumda kali lunix yüklü sqlmap
uygulamasini en yakin zamanda görsellerle destekliyerek anlaticam.
Konumuza Geçelim;
SQL İnjection, Açigi günümüzde en çok görülen açiktir.Heryerde olabilir arkadaşlar MYSQL ve benzeri veritabani
uygulamalarindan kaynaklanmaktadir.Universite, özel okul, kişisel bloglar, devlet siteleri, belkide Facebook,Twitter ;).
Açigi bulmak için dorklari kullaniriz dork yazmayi anlatmiştim konunun sonuna linkini koyucam.
Açigi tespit etmekse çok kolaydir.
Googlede Dorkumuzu Tarattik ve karsimiza siteler çikti hemen birini açiyoruz.
Sitemiz Url;
www.örneksite .com/index.php?id=2
Bu şekilde Bir URL çikti Karşimiza dorkumuzda simdi bizi ilgilendiren.
/index.php?id=2
SQL açikli sitelerin URL adresleri herzaman bu şekildedir.
Tespit etmekse çok kolaydir.URL adresimizin sonuna '(tek tirnak) işaret koymaliyiz.Sitemizi Tırnakladigimizda :D şu şekil;
/index.php?id=2'
bize bir hata vericektir.
Hatamiz sitenin Kullandigi veritabani tipi ve kodlama diline göre degismektedir.
Örnek olarak;
mysql_(fetch_array) PHP dili içindir.
Microsoft VBScript runtime error '800a000d' ASP Dili için
Aspx boşverin :)
Hatamizi aldiysak eger sitemiz Açikli demektir. Simdi tek yapmamiz gereken hedefe saldirmak.
Saldiri yöntemleri klasiktir bunlar;
-Manuel Yöntemle(önerilmez)
-Programlarla
Programlari biraz açmak istiyorum.Kullanabileceginiz Programlar Windows için Havij.
Lunix için Sqlmap,Sqlninja.
Havij pratik ve yeni başlayanlar için hizli ve kolay ögrenim saglayacak bir programdir.
Ama Tabiki Lunix tabanli olan Sqlmap ve Sqlninja
Daha hizli Daha güçlü ve saldiri yöntemi bol programlardir.
Fakat kullanimlari zordur.
Suanlik haviji kullanmanizi öneririm.
Bir Sorunuz Olursa Yorum Olarak Yazabilirsiniz.
Selametle.
0 yorum:
Yorum Gönder
Düşüncelerinizi Bizimlede Paylaşirmisiniz?