Stajımızın 13. gününde projemiz
ile ilgili araştırma yaparak veritabanı hakkında bilgi topladıktan sonra
projemizin veritabanı şemasını (vertabelo sitesi) üzerinde tasarladık sonra
günün toplantısına katıldım toplantıda gönüllü stajyer Furkan arkadaşımızdan
web güvenliği ile ilgili bilgiler aldım bunlardan bazıları şöyleydi.Sql
injection zafiyeti: SQL Injection, veri tabanına dayalı uygulamalara
saldırmak için kullanılan bir
atak tekniğidir; burada saldırgan
SQL dili özelliklerinden faydalanarak standart
uygulama ekranındaki ilgili
alana yeni SQL ifadelerini ekler. Sql injectionın iki
tip SQL Injection olduğunun bunların.Error Based Sql Injection: Geçersiz
girişler kendisine iletildiğinde veri tabanındaki hataları tetikleyerek almak
istediğimiz verileri geri dönen hata ile almaktan geçer. Blind Based Sql
Injection: Bu yöntem diğer yöntemlerden daha uzun ve tahmin gerektiren bir
yöntemdir. Bir web uygulamasında istek gönderildiğinde, kullanıcıya Sadece
“false” veya “true” dönüyorsa, sql injection yaparak, veri tabanı, tablo adı,
kullanıcı adı veya şifre gibi bilgilerin tek tek karakterlerini, kelime
uzunluk-larını tahmin edip veri tabanından bize bir cevap dönmesini bekleriz.
Örnek olarak ilk sıradaki veri tabanı adının 1. Harfi a mı? Ya da kelime
uzunluğu 5 mi? gibi Sorgularla hedefimize ulaşırız. Sql injection yöntemlerini
gördükten sonra Genel SQL injection korunma yöntemleri hakkında bilgi aldım ve korunma
yöntemleri şöyle:
GET ya da POST ile yollanan verileri doğrulamak
Gönderilen verileri filtrelemek
SQL Parametresi kullanmak (Prepare yapmak)
Kullanıcı yetkilerini kısıtlamak
Güvenliği test etmek, gözden geçirmek, önemli verileri encrypt etme
Daha sonra diğer saldırı yöntemleri hakkında bilgi aldım bu yöntemlerden
bazıları şöyleydi:
Cross-site scripting (XSS).
Brute-Force Saldırısı.
File Upload Zafiyeti.
Diğer paylaşımlarıma erişmek için
bloğumu ziyaret edebilirsiz
Blog=yazilimcievin.blogspot.com
İnstagram=evin__gokmen
Twitter=@gokmen_evin
Yorumlar
Yorum Gönder