Nedir?

SQL Injection Nedir?

Bir SQL enjeksiyonu, bir SQL veritabanını kullanarak çevrimiçi bir uygulamadaki güvenlik açığından komutları geçen bir saldırıdır. SQL enjeksiyonları, bilgisayar korsanları tarafından bir sisteme yetkisiz erişim sağlamak, verilerin yerleştirilmesini ve manipülasyonunu kolaylaştırmak veya güvenli veritabanı bilgilerini görüntülemek için yaygın olarak kullanılır. Güvenli bilgi, kredi kartı numaralarını, şifreleri vb. İçerir.

SQL enjeksiyon örneği

SQL enjeksiyon tekniğinin temel bir örneği, web uygulamasının girişi ile gerçek bir ifade göndermektir. Örneğin, ‘veya’ 1 ‘=’ 1 ‘veya’ veya ‘a’ = ‘a’ olan bir kullanıcı adı ve şifre, bu ifadeler doğruysa kullanıcı erişimine izin verir.

SQL Injection, veri tabanına dayalı uygulamalara saldırmak için kullanılan bir atak tekniğidir; burada saldırgan SQL dili özelliklerinden faydalanarak standart uygulama ekranındaki ilgili alana yeni SQL ifadelerini ekler. (Örneğin saldırgan, veritabanı içeriğini kendisine aktarabilir). SQL Injection, uygulamaların yazılımları içindeki bir güvenlik açığından faydalanır, örneğin, uygulamanın kullanıcı giriş bilgileri beklediği kısma SQL ifadeleri gömülür, eğer gelen verinin içeriği uygulama içerisinde filtrelenmiyorsa veya hatalı şekilde filtreleniyorsa, uygulamanın, içine gömülmüş olan kodla beraber hiçbir hata vermeden çalıştığı görülür. SQL Injection, çoğunlukla web siteleri için kullanılan bir saldırı türü olarak bilinse de SQL veri tabanına dayalı tüm uygulamalarda gerçeklenebilir.

SQL injection saldırıları, saldırganların, sistemdeki kullanıcılardan birinin bilgileriyle giriş yapmasına,  mevcut verilere müdahale etmesine, bazı işlemleri iptal etmesine veya değiştirmesine, veri tabanındaki tüm verileri ifşa etmesine, veri tabanındaki tüm verileri yok etmesine, veri tabanı sunucusunda sistem yöneticisi olmasına olanak sağlar.

2012’de yapılan bir araştırmada ,bir web uygulamasının ayda ortalama 4 saldırı aldığı ve perakendecilerin diğer endüstrilerden iki kat fazla saldırı aldığı görülmüştür.

Hits: 13

Bilgisayar mühendisi, girişimci, okur-yazar, webmaster, yönetici, insan...