Similar topics
Arama
En son konular
Reklam Alanı
Mayıs 2024
| Ptsi | Salı | Çarş. | Perş. | Cuma | C.tesi | Paz |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | 4 | 5 | ||
| 6 | 7 | 8 | 9 | 10 | 11 | 12 |
| 13 | 14 | 15 | 16 | 17 | 18 | 19 |
| 20 | 21 | 22 | 23 | 24 | 25 | 26 |
| 27 | 28 | 29 | 30 | 31 |
SQL injection nasıl yapılır???
1 sayfadaki 1 sayfası
SQL injection nasıl yapılır???
tarafından MASKE Perş. Ocak 27, 2011 9:14 am
S1: SQL nedir? Niçin kullanılır?
C1: SQL bir veritabanıdır ve kullanıcıyla etkileşimi sağlayarak istenilen bilgileri sorgulama türüne göre kullanıcıya sunar. Veritabanlarında tablolar saklanır ve bu tablolarda hakkında bilgi tutulmak istenen şeyler (üyeöğrenci personel ürün vs. kayıtları) bulunur. En çok kullanılan veritabanları Microsoft SQL ve Unix MySQL’dir.
S2: SQL’de sorgulama nasıl yapılır?
C2: Normalde veritabanının (SQL veya mySQL) kendi komutlarını kullanarak bir sorgulama yapabilirsiniz. Ancak SQL ya da MySQL kullanan bir siteye doğrudan sorgulama yapamazsınız. Sorgulama işi bizim web sitesinde gördüğümüz sayfaları oluşturan asp ya da php kodları tarafından yapılır ve bu kodlar webmaster tarafından yazılır. Bir alışveriş sitesinden mesela ASUS marka notebook’ları göstermesini istediğimizde aslında bir sorgulama yapmış oluruz ancak bu sorgulamayı bizim yerimize asp ya da php kodları yapar.
S3: SQL enjeksiyonu nedir?
C3: SQL enjeksiyonu veritabanlarının kullanıldığı sitelere kod açıklarından faydalanarak yapılan komut girişleridir.Özellikle Asp ve php ile yapılmış ve kötü olarak tasarlanmış (kod açısından) sitelerde sıkça SQL enjeksiyonu açığına rastlanır.
S4: Her asp ya da php sitesinde bu açık varmıdır? Yoksa nasıl bulacağım bu açığı?
C4: Hayır her asp ya da php sitesinde bu açık bulunmaz. Çünkü bu açığın temeli webmaster’un kodlarda yaptığı bazı hatalara dayanır.Her webmaster da bu açığa düşmez.Bu açığın bir sitede olup olmadığını öğrenmek için mesela asp ile yapılmış bir sitenin kullanıcı girişinin olduğu herhangi bir alana (kullanıcı ismi arama alanı vs) ya da URL adresi kısmına ’ (tek tırnak) yazmanız yeterli. Bu sayede SQL’i hata vermeye zorlarsınız. Eğer şuna benzer bir ODBC hatası verirse o siteye SQL enjeksiyonu yapılabilir:
Microsoft OLE DB Provider for ODBC Drivers error ’80040e07’
[Microsoft][ODBC SQL Server Driver][SQL Server]Syntax error converting the nvarchar value ’urunler’ to a column of data type int.
/index.asp line 11
S5: SQL’i başka nasıl hata vermeye zorlarım ?
C5: Şunlardan birini yazarak:
’ or 1=1--
" or 1=1--
’ or ’a’=’a
or 1=1--
’) or (’a’=’a
" or "a"="a
S6: Peki bunları niçin yapıyoruz ve bunlar ne anlama geliyor?
C6: Bunları SQL’in normal kullanıcıya sunmadığı bilgileri önümüze sermesi için yapıyoruz. Bu sayede SQL hata veriyor ve biz de bu hatadaki bilgiler yardımıyla sisteme kod enjekte ediyoruz. Mesela ’ or 1=1-- şeklindeki bir ifadeyi kullanıcı girişinin olduğu herhangi bir alana yazdığımız zaman SQL’e diyoruz ki: Giriş şartı ya hiçbirşeydir ya da 1=1 olduğu zaman geçerlidir. 1 her zaman 1’e eşit olduğuna göre SQL bizim feykimiz yemiş oluyor yukarıdaki gibi bir hata veriyor. Bu hata sayesinde biz de adını bilmediğimiz tablonun ne olduğunu öğreniyor ve ona göre yeni komut vererek amacımıza ulaşıyoruz.
S7: Olay biraz karıştı. Bir örnekle açıklasak şunu?
C7: Ok SQL’de normalde bir sorgulama şu şekilde yapılır. MEsela bizim ürünler diye bir tablomuz olsun ve bu tabloda web sitesinde sattığımız kitaplarımız telefonlarımız vb gibi ürünlerimiz olsun . Normalde SQL’deki "urunler" adlı bu tablodan "kitaplar" başlıklı tablonun hepsini seçmek istediğimizde şöyle çağırırız:
SELECT * FROM urunler WHERE urunID=’kitaplar’
Ancak biz bunun yerine şu ifadeyi kullanalım:
SELECT * FROM urunler WHERE urunID=’’ or 1=1--’
Şimdi en sağa dikkat edin buraya ’ or 1=1--’ kod enjeksiyonu yaptık ve SQL’e "urunler tablosundan bana urunID’si boş olan (en baştaki tırnaklara dikkat edin) ya da 1=1 eşitliğinin sağlandığı tabloyu getir" dedik. Böylece adını hiç bilmediğimiz tabloların ismini öğrenmiş olacağız
C1: SQL bir veritabanıdır ve kullanıcıyla etkileşimi sağlayarak istenilen bilgileri sorgulama türüne göre kullanıcıya sunar. Veritabanlarında tablolar saklanır ve bu tablolarda hakkında bilgi tutulmak istenen şeyler (üyeöğrenci personel ürün vs. kayıtları) bulunur. En çok kullanılan veritabanları Microsoft SQL ve Unix MySQL’dir.
S2: SQL’de sorgulama nasıl yapılır?
C2: Normalde veritabanının (SQL veya mySQL) kendi komutlarını kullanarak bir sorgulama yapabilirsiniz. Ancak SQL ya da MySQL kullanan bir siteye doğrudan sorgulama yapamazsınız. Sorgulama işi bizim web sitesinde gördüğümüz sayfaları oluşturan asp ya da php kodları tarafından yapılır ve bu kodlar webmaster tarafından yazılır. Bir alışveriş sitesinden mesela ASUS marka notebook’ları göstermesini istediğimizde aslında bir sorgulama yapmış oluruz ancak bu sorgulamayı bizim yerimize asp ya da php kodları yapar.
S3: SQL enjeksiyonu nedir?
C3: SQL enjeksiyonu veritabanlarının kullanıldığı sitelere kod açıklarından faydalanarak yapılan komut girişleridir.Özellikle Asp ve php ile yapılmış ve kötü olarak tasarlanmış (kod açısından) sitelerde sıkça SQL enjeksiyonu açığına rastlanır.
S4: Her asp ya da php sitesinde bu açık varmıdır? Yoksa nasıl bulacağım bu açığı?
C4: Hayır her asp ya da php sitesinde bu açık bulunmaz. Çünkü bu açığın temeli webmaster’un kodlarda yaptığı bazı hatalara dayanır.Her webmaster da bu açığa düşmez.Bu açığın bir sitede olup olmadığını öğrenmek için mesela asp ile yapılmış bir sitenin kullanıcı girişinin olduğu herhangi bir alana (kullanıcı ismi arama alanı vs) ya da URL adresi kısmına ’ (tek tırnak) yazmanız yeterli. Bu sayede SQL’i hata vermeye zorlarsınız. Eğer şuna benzer bir ODBC hatası verirse o siteye SQL enjeksiyonu yapılabilir:
Microsoft OLE DB Provider for ODBC Drivers error ’80040e07’
[Microsoft][ODBC SQL Server Driver][SQL Server]Syntax error converting the nvarchar value ’urunler’ to a column of data type int.
/index.asp line 11
S5: SQL’i başka nasıl hata vermeye zorlarım ?
C5: Şunlardan birini yazarak:
’ or 1=1--
" or 1=1--
’ or ’a’=’a
or 1=1--
’) or (’a’=’a
" or "a"="a
S6: Peki bunları niçin yapıyoruz ve bunlar ne anlama geliyor?
C6: Bunları SQL’in normal kullanıcıya sunmadığı bilgileri önümüze sermesi için yapıyoruz. Bu sayede SQL hata veriyor ve biz de bu hatadaki bilgiler yardımıyla sisteme kod enjekte ediyoruz. Mesela ’ or 1=1-- şeklindeki bir ifadeyi kullanıcı girişinin olduğu herhangi bir alana yazdığımız zaman SQL’e diyoruz ki: Giriş şartı ya hiçbirşeydir ya da 1=1 olduğu zaman geçerlidir. 1 her zaman 1’e eşit olduğuna göre SQL bizim feykimiz yemiş oluyor yukarıdaki gibi bir hata veriyor. Bu hata sayesinde biz de adını bilmediğimiz tablonun ne olduğunu öğreniyor ve ona göre yeni komut vererek amacımıza ulaşıyoruz.
S7: Olay biraz karıştı. Bir örnekle açıklasak şunu?
C7: Ok SQL’de normalde bir sorgulama şu şekilde yapılır. MEsela bizim ürünler diye bir tablomuz olsun ve bu tabloda web sitesinde sattığımız kitaplarımız telefonlarımız vb gibi ürünlerimiz olsun . Normalde SQL’deki "urunler" adlı bu tablodan "kitaplar" başlıklı tablonun hepsini seçmek istediğimizde şöyle çağırırız:
SELECT * FROM urunler WHERE urunID=’kitaplar’
Ancak biz bunun yerine şu ifadeyi kullanalım:
SELECT * FROM urunler WHERE urunID=’’ or 1=1--’
Şimdi en sağa dikkat edin buraya ’ or 1=1--’ kod enjeksiyonu yaptık ve SQL’e "urunler tablosundan bana urunID’si boş olan (en baştaki tırnaklara dikkat edin) ya da 1=1 eşitliğinin sağlandığı tabloyu getir" dedik. Böylece adını hiç bilmediğimiz tabloların ismini öğrenmiş olacağız
MASKE- hacker
- Mesaj Sayısı : 198
rep-puan : 2147488698
Rep Puan : 53
Kayıt tarihi : 17/07/10
Yaş : 43
Nerden : İZMİR
Oyun Sayfası
Oyun Alanı: -
1 sayfadaki 1 sayfası
Bu forumun müsaadesi var:
Bu forumdaki mesajlara cevap veremezsiniz
» Proxy Çekme Programı İndir
» NightMare Program arşivi v1.0 (Türkçe) 2012 Tek Link İndir
» 9 ADET DDOS ATTACK PROGRAMLARI İNDİR
» IP ÖĞRENME YÖNTEMLERİ
» Yeni BaşLayanLar iÇin İdeaL Bi ( PC HacK ) Yöntemi
» Kontör Hilesi
» Wireless Hack Programı İndir
» Wirelless(Kablosuz Ağ)Şifre Kırma(2010)
» 77 WIFI Hack v2.0
» Netstat Nedir ve Nasıl Kullanılır?
» SQL SERVER Türkçe Görsel Eğitim Seti Full Tek Link İndir
» Ip gözükmesin!!!
» EN ETKİLİ CAMFROG PİNG DÜŞÜRME PROGRAMI
» CamPaper v3.98 (Dünyadaki Web Kameraları Masaüstünüze Gelsin)
» DriverScanner 2012 Full Tek Link İndir.İçinde Serial Mevcuttur..
» 9300 Adet İkon Koleksiyon
» RAKİON HACK
» deep webe giriş hakkında
» MSN HACK PROGRAMI FİLAN AÇIK YOLLARI VARSA LÜTFEN YARDIM
» EssentialNetToolsv4.1 Full İndir-Resımlı Anlatım(Crack İçindedir.)
» Meta Kodları
» Xtreme RAT 2.9 ful indir
» counter strıke 1.6
» By'Roc-Hackeroo1 Özel deneme sürüm v1 hack program
» İndirme Siteleri Bedava Premium Üyelikleri
» Global Deprem Takip Programı İndir
» ADMİN YADA BİRİNİZ YARDIM ETSİN LÜTFEN
» LOL DROP HACK VARSA ATABİLİRMİSİNİZ (YENİYİM)
» YARDIM EDİN ACİL!!!
» hedef kameralara sızmak yardım
» 50 Adet İllizyon Gösterisi ve Püf Noktaları İndir Tek Link
» Admin Paneline kolayca Sızma hack
» Yapay sanal zeka programı indir pc programı indir
» SQL Injection Dersleri
» Stereoscopic Player v1.9.5 (3D Video Oynatıcı)
» Sorular Burdan Bu Başlık Altından Gönderin 1 Günde Cevapp....................
» Abrosoft FantaMorph Deluxe v5.4.0 (Eğlenceli Fotomontaj Programı)
» Windows Kullanıcı Şifresini Kırın
» WireLess Kırıcı indir DownLoad
» farkı buyrun içerde yaşayın
» Raxco PerfectDisk Server v12.5 Build 311 Final (Profesyonel Disk Birleştirme Yazılımı)
» Counter Strike 1.6 Server Saldırı Programı , Ping Yollayıcı
» AVG PC Tuneup 2012 Full İndir(İçinde Serial Mevcuttur)
» Wireless şifre kırma
» BİZ GERİ DÖNDÜK..!
» şifre kırıcı
» Hide IP Easy v5.2.1.6 (IP Gizleme Programı)
» Arkadaşlar Çoğu Hack Programları
» ExtremeCopy Pro v2.3.0 (x86/x64) - (120% Daha Hızlı Kopyalayın)
» 34 Aded Wep Hack Videolu
» Türkojen İle Yapabilcekleriniz
» WiFi Hack AIO (2010) Wireless şifre kırma araçları güncel paket
» Zaman Ayarlı Bilgisayar Kapatan Program İndir
» 10 saniyede kendi solucan virüsünü yapın
» Crypter+Binder Yapımı(Videolu Anlatım)
» DEV HACK PROGRAM MSN,WEB DAHA BİRÇOK KONU İÇİN BUYRUN HEPSİ BİR ARADA
» Tarihin en güçlü saldırı programı Deprem V1.0
» K-Lite Mega Codec Pack 6.2.0
» Autoplay Menu Designer Pro v4.4 build 156 (İnteraktif CD/DVD Autorun Menüleri Hazırlayın)
» FacebooK HesaP Dondurucu (2010) HESAP BİRDAHA AÇILAMAZ
» Hacker Hack
» Evet arkadaşlar özel hack dersleri orta seviye dersleri video ları mükkemeldir
» By'G3L3C3K Hacker İnternette PKK'LILARI RAHAT BIRAKMIYOR...!!!
» Adobe Photoshop CS CS2 CS3 CS4 CS5 Portable
» Videoya Winrar'dan Virüs Koyma(Resimli Anlatım)
» ByRoc Site aç
» En basit hack yöntemi budur acemiler için kesin sonuç
» PassMark OSForensics Professional v1.2.1003 (İşletim Sistemi Adli İnceleme Programı)
» Ursa Software KeyMon v2.23 (Bilgisayar Casusu)
» BÜTÜN YASAKLI SİTELERE GİRME PROGRAMI
» Dailymotion'ın mahkeme kararıyla Türkiye'de erişime kapatıldı. 2013
» ANTİ-KEYLOGGER PROGRAMINI BİLGİSAYARDAN KALDIRMA SORUNU (ÇÖZÜLDÜ)
» Bilgisayarınız hızlandıran program
» ANASAYFA MÜZİĞİMİZ BUNLAR OLACAK!
» Point Blank Bedava E -pİN
» Prison Break 3. Sezon Tüm Bölümler Full 720p Türkçe Dublaj İzle
» Prison Break 2. Sezon Tüm Bölümler Full 720p Türkçe Dublaj İzle
» Prison Break 1. Sezon Tüm Bölümler Full 720p Türkçe Dublaj İzle
» Linkleri herkezle paylaşmayınız..
» Kriptoloji Kriptografi Dökümanlar Türkçe Tek Link İndir
» Site açıklarını bulma....
» DUYURU.....!
» Facebook hack programı yada kodunu bilen yazar mı? (detaylı kullanımınıda)
» facebook çalma nasıl
» Windows Açılışına Kendi Mesajını Yazını Ekleme
» SEN BİR KORKAKSIN..!
» Android Cihazlar İçin FULL Sürüm Karışık Uygulama Paketi ( Oyun Ağırlıklı )
» System Optimize Expert v3.2.9.2 (Sistem Optimizasyonu Uzmanı)
» karsı tarafın masa ustunu gormek ıstermısın
» 1000 Adet Yazı Fontu Tek Link İndir
» Bilgisayarınıza Başkaları Girmesin
» FACE HACKLEME
» wiraless hack
» Depp Frezee Pc Koruma Programı
» Backtrack Görsel Eğitim ve Hack Dersleri DVD si
» BluffTitler DX9 iTV v8.7.0.0 (3 Boyutlu Yazı Animasyonu Hazırlama Programı)
» İstanbul kıyamet vakti online oyun
» En Çok Tavsiye Edilen Android Oyun Paketi-PRO Versiyon