SQL Enjeksiyon Saldırı Uygulaması ve Güvenlik Önerileri

Slides:



Advertisements
Benzer bir sunumlar
VERİTABANLARI ÜZERİNDEN ÇOK KULLANICILI YAZILIMLAR İLE TİCARİ VE MÜHENDİSLİK VERİLERİNİN ANALİZLERİNİN GETİRDİĞİ FAYDALAR Dr. YILMAZ YÖRÜ Yük.Mak.Müh.
Advertisements

T sql-diğer komutlar Metin Akbulut.
VTYS Öğr. Gör. Engin DUTAR
Hazırlayan : Öğr. Gör. Fahri YILMAZ
Bilgisayar ve İnternet Güvenliği
Amaçlar  Verinin üretildiği yerden ve üretildiği anda elektronik ortamdan alınması  İnsan emeği ve hataların en aza indirilmesi  Birbirine bağlı süreçlerde.
KARMAŞIK SORGULAR.
MySQL Veritabanı Sunucusu ve MySQL Veritabanı Kullanımı
SİSTEM GEREKSİNİMLERİ
KARMAŞIK SORGULAR.
SQL (Structured Query Language)
HR-WEB TANITIM SUNUMU’2013
SQL FONKSİYONLARI.
Microsoft Danışman Öğrenci
SQL Komutlar 2 Sibel SOMYÜREK.
SQL Komutlar 5 Sibel SOMYÜREK.
SQL Komutlar 4 Fahri YILMAZ.
VERİ TABANI ve YÖNETİMİ
Veri Tabanı Yönetim Sistemleri
Tek Tablo İçinde Sorgulamalar
Copyright © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the OWASP License. The OWASP.
SQL (STRUCTURED QUERY LANGUAGE)
VTYS Öğr. Gör. Engin DUTAR
Akıllı Telefon İhmalleri AKILLI TELEFONLARINI KAYBEDEN VEYA ÇALDIRANLARIN ORANI GEÇEN YIL SİBER SALDIRIYA MARUZ KALANLARIN ORANI Kaynak: 2013 Norton Raporu.
VIEW (BAKIŞ) OLUŞTURMA
VIEW lerle çalışmak 11.BÖLÜM.
SQL Komutlar 3 Sibel SOMYÜREK.
Bilgisayar Mühendisliği Bölümü
VTYS Öğr. Gör. Engin DUTAR
SQL Dili ve MySQL Komutları
SQL’e Giriş ve SELECT Komutu
Veri Tabanı Nedir ?.
Iletisim Icin : Blog : E - Mail :
İnternet Programcılığı II
Windows için mysql kurulumu sitesinden mysql veritabanının ilgili sürümü indirilir. Biz.
PHP ve MYSQL Veritabanı Sunucusu
SQL Sibel SOMYÜREK.
SQL Komutları (2) Uzm. Murat YAZICI.
PERSONEL ŞUBE MÜDÜRLÜĞÜ
Bilgisayar Mühendisliği Bölümü
VTYS Öğr. Gör. Engin DUTAR
FIRAT ÜNİVERSİTESİ PERSONEL OTOMASYONU
SQL’ e Giriş Uzm. Murat YAZICI.
Copyright © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the OWASP License. The OWASP.
Bölüm 8: SQL’de Yetkilendirmeler (Veri Kontrol Dili – DCL)
BİLGİ GÜVENLİĞİ Şifreleme
BİLGİ GÜVENLİĞİ Şifreleme
Update UPDATE tablo_ismi SET sutun1=‘deger1’ WHERE sutun=deger.
Veritabanı Yönetim Sistemleri - I
İnsan Kaynakları Bilgi Sistemleri
GÜVENL İ K. Sunucu Seviyesinde Güvenlik Master Veritabanı (Kullanıcının gerekli yetkileri var mı?) Authentication Mod ◦ Windows Authentication Mod  Varsayılan.
Yeni Veritabanı Oluşturma
Veri Tabanı Yönetimi Dersi 7. Laboratuvarı Arş. Gör. Pınar CİHAN.
ÖTÖ 451 Okul Yönetiminde Bilgisayar Uygulamaları R. Orçun Madran.
Yapısal Sorgulama Dili SQL Hafta 7. TEKRARLI SATIRLARI ÖNLEMEK  DISTINCT komutu ile sorgu sonucunda birden fazla kayıt aynı verileri içeriyorsa tekrarlı.
Önemli Olan Her Şeyinizi Korur 2013 NORTON RAPORU SİBER SUÇ VAKALARI Hayatlarında en az 1 kez siber saldırıya maruz kalan yetişkinlerin oranı% 63 % 61.
ÖTÖ 451 Okul Yönetiminde Bilgisayar Uygulamaları R. Orçun Madran.
 Stored Procedure kısaca SQL sorgularını isteğimize göre hazırlayıp kullanıma hazır veri tabanı nesnesine çeviren bir araçtır.  Stored Procedure, Türkçeye.
Öğretim Görevlisi Alper Talha Karadeniz Veri Tabanı 2
Veri Tabanı Yönetimi Dersi 1. Laboratuvarı
VIEW lerle çalışmak 11.BÖLÜM.
© Marmara Üniversitesi Uzaktan Eğitim Uygulama ve Araştırma Merkezi
Basit Sorgulamalar Yapmak
SQL SERVER STORED PROCEDURE
VERİ TABANI SQL (STRUCTURED QUERY LANGUAGE) SAVAŞ TUNÇER.
MS SQL VERİTABANININ HOST HESABINA TAŞINMASI SAVAŞ TUNÇER.
DML ile veri ekleme, silme ve değiştirme
Veri Tabanı Temel Kavramlar.
SQL Server - Stored Procedures
NİŞANTAŞI ÜNİVERSİTESİ
Sunum transkripti:

SQL Enjeksiyon Saldırı Uygulaması ve Güvenlik Önerileri Doygun DEMİROL, Resul DAŞ, Muhammet BAYKARA

İnternet Kullanımı, 2013 2013 yılındaki istatistiklere göre dünya nüfusunun %39’u (2.7 milyar) internet kullanıyor.

Siber Suçların Verdiği Zarar Symantec firmasının sunduğu 2012 Norton Siber Suç Raporu’na göre; Türkiye’de siber suçların toplam net zarar maliyeti 556 milyon dolar Rapora göre bu maliyet dünya çapında 110 milyar dolar

Web Yazılımları Nasıl Çalışır ?

SQL Enjeksiyon Nedir ? SQL Enjeksiyonu Yöntemi, web uygulamalarından alınan kullanıcı girdileri ile oluşturulan SQL sorgularının manipülasyonu Kullanıcıdan gelen verilerin kontrol edilmeden veri tabanı sorgularında kullanılması

SQLi Saldırı Uygulaması Örneği Örnek olarak ; Kullanıcı adı : admin Şifre : 1234 Şeklindeki kullanıcı girdisi aşağıdaki SQL sorgusunu oluşturacaktır. SELECT * FROM Users WHERE Username = ‘admin' AND Password = ‘1234'

SELECT * FROM Users WHERE Username = ‘admin' SQLi Saldırı Uygulaması Örneği Kullanıcı adı : admin Şifre : ‘ OR 1=1-- Şeklindeki kullanıcı girdisi aşağıdaki SQL sorgusunu oluşturacaktır. SELECT * FROM Users WHERE Username = ‘admin' AND Password = ‘‘ OR 1=1--

Güvenlik Önerileri Veri tabanında bulunan tablo ve tablo alanı isimlerinin kolay tahmin edilebilecek şekilde olmaması Web formlarında parametrik sorguların kullanılması Web formlarındaki giriş kontrollerine veri girişi yapılırken bu verilerin doğrulanması, girdi uzunluğunun kontrol edilmesi Web formlarında kullanılan ve veri tabanında bir kayıt satırını temsil eden sayısal değerler için (Örn:QueryString değeri) formlar arası geçişlerde bu değerlerin sayısal bir değer olup olmadığının kontrol edilmesi

Güvenlik Önerileri SQL tabanlı web uygulamalarında kullanıcı, veri girişi yaptıktan sonra veri tabanına gönderilen SQL sorgusu karakterlerinde arama yaptırılarak tehlikeli karakterleri, replace vb. komutlarla SQL Sunucuda hataya yol açmayacak şekilde zararsız karakterlere çevrilmesi SQL sunucuda oluşacak hataların web formlarında yansıtılmamsı Web uygulamalarında kullanılan veri tabanına yazma, okuma, silme gibi temel özelliklerin yalnızca bir yönetici tarafından yönetilmesine izin verilmesi

Güvenlik Önerileri Uygulamada web formlarına sorgu yazmak yerine, bu sorguları veri tabanı kısmında saklı yordam (Stored Procedure) olarak yazılması SQL enjeksiyon yönteminde kullanılabilecek sözcüklerin (select, insert, update vb.) bir fonksiyon ile filtrelenmesi Kullanılmayan saklı yordamların ve yönetici hesaplarının kaldırılması Web uygulaması ve veri tabanı sunucularının bulunduğu sistemin, donanımsal veya yazılımsal tabanlı bir güvenlik duvarı ile tüm saldırılara karşı muhafaza edilmesi Doygun DEMİROL, Resul DAŞ, Muhammet Baykara

Teşekkürler