Bu video bilgi amaçlı olup, SQL Injection saldırılarına karşı farkındalığı arttırabilmek ve bu doğrultuda tedbirler alınabilmesi için hazırlanmıştır.
00:00:00 Nasıl Korunulur: SQL Injection 00:00:12 Bu videoda doğru yapılandırılmamış veri tabanlarının black hat hacker gözüyle saldırı simülasyonu tasarlanmıştır.
00:00:16 Bu kısımda zafiyet tespiti için girdi noktaları keşfedilmiştir.
00:00:21 Girdi noktaları keşfedildikten sonra bu alanda zafiyet tespiti için (‘) sembolü ve SQL sorgu ifadeleri kullanılmıştır.
00:00:34 Zafiyet tespiti gerçekleştirildikten sonra veri tabanında kayıtlı sütun sayısını bulabilmek için SQL sorgu ifadeleri kullanılmıştır.
00:01:02 Sistem hakkında ‘versiyon’ vb. bilgiler elde edilmiştir.
00:01:18 Otomatize araç ile tüm database içerisinde mevcut olan tüm veriler elde edilmiştir.
00:03:20 ÇIKARILAN DERSLER SQL Injection korunmanın en keskin çözüm yolu Prepared Statements (Hazırlanmış İfadeler) yöntemidir.
Prepared Statements; Geliştiriciyi SQL komutunu ve kullanıcı tarafından sağlanan verileri ayrı ayrı yazmaya zorlayan parametreli ve yeniden kullanılabilir bir SQL sorgusudur.
SQL komutu, SQL Injection güvenlik açıklarını önleyerek güvenli bir şekil sağlamış olmaktadır. Doğrudan SQL komutlarının yürütülmesine kıyasla, hazırlanan ifadelerin üç ana avantajı vardır:
1. Hazırlanan ifadeler, sorgu üzerindeki hazırlık yalnızca bir kez yapıldığından ayrıştırma süresini azaltır (ifade birden çok kez yürütülmesine rağmen).
2. Hazırlanan ifadeler içerisinde bağlı parametreler, her seferinde tüm sorguya değil, yalnızca gerekli parametreler göndermeniz gerektiğinden, sunucudaki bant genişliğini en aza indirir.
3. Hazırlanmış ifadeler SQL enjeksiyonlarına karşı çok kullanışlıdır, çünkü daha sonra farklı bir protokol kullanılarak iletilen parametre değerlerinin doğru şekilde atlanmasına ihtiyaç yoktur. Orijinal ifade şablonu harici girdiden türetilmezse, SQL Injection gerçekleşemez.
*KVKK, ISO 270001, Bilgi Güvenliği, Siber Güvenlik ve Bilgi Teknolojileri konularında destek ve teklif sayfamıza buradan ulaşabilirsiniz.
*KVKK, ISO 270001, Bilgi Güvenliği, Siber Güvenlik ve Bilgi Teknolojileri konularında hazırladığımız tüm blog yazılarımıza buradan ulaşabilirsiniz.
KVKK, ISO 27001, Bilgi ve İletişim Güvenliği Rehberi, ISO 27701, Bilgi Güvenliği, Siber Güvenlik ve Bilgi Teknolojileri konularında destek ve teklif almak için lütfen