Anket | | Sizce En Cok Hangi Sitelere Saldırılmalı ? | Türk Sitelerine | | 0% | [ 0 ] | Adult Grafik | | 47% | [ 7 ] | İsrael Sİtelerine | | 33% | [ 5 ] | Mp3 Sitelerine | | 7% | [ 1 ] | Milliyetci Sitelere | | 0% | [ 0 ] | Okul Sitelerine | | 13% | [ 2 ] | Dİğer Sitelere.. | | 0% | [ 0 ] |
| Toplam Oylar : 15 |
|
Kimler hatta? | Toplam 98 kullanıcı online :: 0 Kayıtlı, 0 Gizli ve 98 Misafir Yok Sitede bugüne kadar en çok 98 kişi Salı Eyl. 17, 2024 11:26 pm tarihinde online oldu. |
En son konular | » Java SE 7 OCA Eğitim Lab Tam Sürüm başlattı tarafından treacyjane Cuma Kas. 04, 2011 12:59 pm
» Bu konuya yolladınız. ¦ ¦ ~ Esit DB [PK Keyfi] [Hileler Fix] ~¦ ¦[7/24 0nLiné]2 Irkın 1.Si Kral~ tarafından ByBur4q Salı Şub. 02, 2010 8:50 pm
» Turkojan 4.0 (Gold Edition) tarafından By.Since C.tesi Ara. 12, 2009 3:54 pm
» Awsurveys İle Para Kazanma..! tarafından ByBur4q Cuma Ara. 11, 2009 2:54 pm
» GençKen yapılıcak 100 Şey =) tarafından ByBur4q Cuma Ara. 11, 2009 2:32 pm
» Şu ingilizceye Bakın =) tarafından ByBur4q Cuma Ara. 11, 2009 2:31 pm
» Caine Network!... ||||| 83/1 Pk Server!... |||||| Japko İtem's!.||1k np BiLe yok!!!! tarafından Kiss0fTheDragon Cuma Ara. 11, 2009 2:04 pm
» Clanlar Hakkında Herşey / Pelerin simgeleri NP Sistemi tarafından ByBur4q Cuma Ara. 11, 2009 2:03 pm
» Knight Online [REHBER] tarafından Kiss0fTheDragon Cuma Ara. 11, 2009 1:59 pm
» Konu: YepYeni Server Dün AçıLdı Buyrun tarafından Kiss0fTheDragon Cuma Ara. 11, 2009 1:55 pm
» Eski Sehir 2-1 Fener Bahçe tarafından ByBur4q Cuma Ara. 11, 2009 1:51 pm
» BEŞİKTAŞ 9 da 8.5 YAPTI.. tarafından ByBur4q Cuma Ara. 11, 2009 1:51 pm
» Sizce En Cok Hangi Sitelere saldırılmalı ? tarafından ByBur4q Cuma Ara. 11, 2009 1:42 pm
» Pc niz Hızdan Uçsun =) By_SweeT_OzzYs Upload. tarafından ByBur4q Cuma Ara. 11, 2009 1:37 pm
» En Tehlikeli Virüsler Ve Programsız Temizleme Yöntemleri tarafından ByBur4q Cuma Ara. 11, 2009 1:35 pm
» Sitemizin Kullanıcılarını Verdiği Hediyeler Lütfen Konuya Bakınız... tarafından ByBur4q Cuma Ara. 11, 2009 1:34 pm
» Xss Nedir? tarafından SweeT_Ozzys Cuma Ara. 11, 2009 1:17 pm
» Web Açıkları Tarayıcıları tarafından SweeT_Ozzys Cuma Ara. 11, 2009 1:14 pm
» Spam Nedir, Nasıl Korunulur? tarafından SweeT_Ozzys Cuma Ara. 11, 2009 1:12 pm
» DDoS (Distributed Denial Of Service) Nedir, Nasıl Yapılır. tarafından SweeT_Ozzys Cuma Ara. 11, 2009 1:11 pm
» SSH Nedir? Nasıl Kullanılır? tarafından SweeT_Ozzys Cuma Ara. 11, 2009 1:11 pm
» Md5 Şifre kırıcı siteler tarafından SweeT_Ozzys Cuma Ara. 11, 2009 1:09 pm
» Rapidshareniz Yavaş İndiriyorsa Girin İçeri Öğrenin Hızlı İndirsin By_SweeT_OzzYs =) tarafından SweeT_Ozzys Cuma Ara. 11, 2009 1:08 pm
» Rapidshareniz Yavaş İndiriyorsa Girin İçeri Öğrenin Hızlı İndirsin By_SweeT_OzzYs =) tarafından SweeT_Ozzys Cuma Ara. 11, 2009 1:08 pm
» Google amcanın RFI Kodları yeniler için.. tarafından SweeT_Ozzys Cuma Ara. 11, 2009 1:07 pm
» Msn Hack yeniler için tarafından SweeT_Ozzys Cuma Ara. 11, 2009 1:03 pm
» Mail İle pc hack tarafından SweeT_Ozzys Cuma Ara. 11, 2009 12:59 pm
» Yenİ BaŞliyanlar İÇİn 6 Temel Şey tarafından SweeT_Ozzys Cuma Ara. 11, 2009 12:55 pm
» Genc Ken Yapılacak 100 Sey madde 100 :D tarafından SweeT_Ozzys Cuma Ara. 11, 2009 12:51 pm
» İstekForuma Özel Yaptığım Girin Bakın tarafından SweeT_Ozzys Cuma Ara. 11, 2009 12:48 pm
» Komik Yazılar tarafından ByBur4q Perş. Ara. 10, 2009 6:01 pm
» Sitemizde 100 Konu açan herkeze Tk domain Hediye.. Kampanya Diye buna denir. =) tarafından ByBur4q Perş. Ara. 10, 2009 5:59 pm
» alın size iskelet kolbastısı izleyin görün..(DİKKAT) Gülme Krizine Girilebilir =) tarafından SweeT_Ozzys Perş. Ara. 10, 2009 5:55 pm
» Bu video çok komik ama +18 gerçi bunu desek nolur gine bakıcaksınız =) tarafından SweeT_Ozzys Perş. Ara. 10, 2009 5:48 pm
» Norton AntiVirus Gaming Edition 2009 tarafından SweeT_Ozzys Perş. Ara. 10, 2009 5:44 pm
» Kaspersky Anti-Virus 2010 9.0.0.463 tarafından SweeT_Ozzys Perş. Ara. 10, 2009 5:36 pm
» avast! Home Edition indir avast! Home Edition 4.8.1368 tarafından SweeT_Ozzys Perş. Ara. 10, 2009 5:33 pm
» AVG Anti-Virus Professional download tarafından SweeT_Ozzys Perş. Ara. 10, 2009 5:33 pm
» Sunucunuza Saldıran Kişiyi Öğrenin... tarafından SweeT_Ozzys Perş. Ara. 10, 2009 5:32 pm
» Avira AntiVir Personal 9.0.0.452 Yenilendi. tarafından SweeT_Ozzys Perş. Ara. 10, 2009 5:31 pm
» Adobe Flash Player Güvenlik Açığı tarafından ByBur4q Perş. Ara. 10, 2009 5:18 pm
» Okul Cıkışı Manita kavgası :) tarafından SweeT_Ozzys Perş. Ara. 10, 2009 5:18 pm
» Fiyatları ne kadar gir ören.. tarafından SweeT_Ozzys Perş. Ara. 10, 2009 5:15 pm
» İstekforum.Tk için İlk Hackimiz :) tarafından SweeT_Ozzys Perş. Ara. 10, 2009 5:08 pm
» Su Anki Temamız Güzelmi Kötümü ? tarafından SweeT_Ozzys Perş. Ara. 10, 2009 5:07 pm
» CPU hızınız gerçekte ne kadar önemli? Gir ören. tarafından SweeT_Ozzys Perş. Ara. 10, 2009 5:06 pm
» Cpu İşletimi tarafından SweeT_Ozzys Perş. Ara. 10, 2009 5:05 pm
» CPU Okumanız gereken biraz bilgi. İstekforum tarafından SweeT_Ozzys Perş. Ara. 10, 2009 5:04 pm
» CPU Z Kullanımı tarafından SweeT_Ozzys Perş. Ara. 10, 2009 5:04 pm
» Dahili Parça Portları tarafından SweeT_Ozzys Perş. Ara. 10, 2009 5:03 pm
» Anakart Nedir ? tarafından SweeT_Ozzys Perş. Ara. 10, 2009 5:01 pm
» Anakartların Temel Parçaları ve Görevleri tarafından SweeT_Ozzys Perş. Ara. 10, 2009 5:00 pm
» Bileşenler ve özellikler tarafından SweeT_Ozzys Perş. Ara. 10, 2009 4:58 pm
» Anakart veri yolları tarafından SweeT_Ozzys Perş. Ara. 10, 2009 4:57 pm
» Anakart ile ilgili bilgi okumanızı tavsiye ederim.. tarafından SweeT_Ozzys Perş. Ara. 10, 2009 4:57 pm
» Bir Tane daha Geldi hacked İstekforum tarafından SweeT_Ozzys Perş. Ara. 10, 2009 4:56 pm
» İstekForuma YÖnlendirme hack :) tarafından SweeT_Ozzys Perş. Ara. 10, 2009 4:55 pm
» Hedef Sistemi HackLeme Yöntem ve TeknikLeri 10 Adım! tarafından SweeT_Ozzys Perş. Ara. 10, 2009 4:51 pm
» Web Sayfalarında Güvenlik Nedir? tarafından SweeT_Ozzys Perş. Ara. 10, 2009 4:45 pm
» Web/Server Güvenliği Hakkında Yorumlarınız.. Sorularınız ? tarafından SweeT_Ozzys Perş. Ara. 10, 2009 4:42 pm
|
| | injection açıkları . | |
| | Yazar | Mesaj |
---|
ßy_ShééytaN 4.Seviye
Mesaj Sayısı : 42 Rep Gücü : 120 Rep Gücü : 1001 Kayıt tarihi : 29/11/09 Yaş : 38 Nerden : texas
| Konu: injection açıkları . Paz Kas. 29, 2009 1:03 am | |
| Enjeksiyon açıkları, özellikle SQL enjeksiyon, web uygulamalarında ortak bir açıktır. Çok fazla tipte enjeksiyon tipi vardır: SQL, LDAP, Xpath, XSLT, HTML, XML, OS komutları ile enjeksiyon ve daha fazlası Ve 2009’da Yeni Enjesiyon Açıkları Çıkmış Tabi bunlar için Geniş Bir Çalışma Yapmak Lazım..
Enjeksiyon, kullanıcı kaynaklı veri içerisinde bir komut veya sorgunun bir bölümünün yorumlayıcıya gönderilmesiyle gerçekleştirilir. Saldırganlar, ustalıkla planlanmış komutlar aracılığıyla, yorumlayıcıya çalışabilir komutlar göndererek özel veri alanlarına erişim sağlarlar. Enjeksiyon açıkları, uygulama üzerinden saldırganların isteğine bağlı olarak, oluşturma, okuma, güncelleştirme veya silme izinlerinden herhangi birini verir. En kötü durum senaryosu, bu açıklardan yararlanan saldırganın tamamen uygulama ve önemli sistem bileşenleri ile güvenlik duvarı katmanına erişebilmesidir.
Kulacıların Yaptığı Hatalardan Çıkan Zayıflıklar.. Eğer kullanıcı, onaylanmış veya kodlanmış verinin dışındaki bir veriyi yorumlayıcıya gönderiyorsa, uygulama saldırıya açıktır. Örnek için, aşağıdaki kullanıcı kaynaklı dinamik sorguları kontrol ediniz:
PHP: $sql = "SELECT * FROM table WHERE id = ’" . $_REQUEST[’id’] . "’"; Java: String query = "SELECT user_id FROM user_data WHERE user_name = ’" + req.getParameter("userID") + "’ and user_password = ’" + req.getParameter("pwd") +"’";
Burada amaç, kullanıcı verisi değiştirilmeden, uygulama aracılığıyla yorumlayıcıya komut veya sorgu gönderilip gönderilmediğini kontrol etmektir.
Otomatik Yapılan Yaklaşımlar: Çoğu zayıflık tarama aracı enjeksiyon problemlerini tarar, Özellikle de SQL Enjeksiyonunu. Statik analiz araçları, güvenli olmayan yorumlayıcı API’lerini taramak için oldukça kullanışlıdır, fakat sıklıkla doğrulanmış veya kodlanmış koruma yöntemlerine karşı zayıflıkları yakalayamazlar. Eğer uygulama 501 veya 500 dahili sunucu hatası veya detaylı veritabanı hataları veriyorsa, otomatik araçlar ile önlem alınabilir, fakat kod hala risk altında olabilir. Otomatik araçlar LDAP/XML enjeksiyonları ile /XPAth Enjeksiyonlarını saptayabilir. Elle Yapılan Yaklaşımlar: Bu yorumlayıcıya gönderilen kodlar ile çok etkili ve tam bir kontrol sağlar. Bu işlemin eleştirilecek yanı ise Güvenli API’lerin kullanımının, kodlanmış ve doğrulanmış bölgeler için kontrol edilmelidir. Bu test işlemi son derece fazla zaman alacaktır ve düşük kapsamlı olacaktır, çünkü uygulamaların büyüklüğü nedeniyle saldırı yüzeyi çok geniş olacaktır.
Security
Yorumlayıcıların kullanımından kaçınılmalıdır. Eğer yorumlayıcıya istek gönderecekseniz, enjeksiyondan kaçınmanın anahtar yöntemi API’lerin kullanımıdır, Örneğin güçlü sorgu ve ilişkili nesne haritalama kütüphaneleri (ORM) kullanılabilir. Bu arayüzler, bütün verileri gözden geçirir veya bu geçişleri gerektirmeyebilir. Önemli olan arayüzlerin güvenliğine karşın, problem saldırıları saptamak için belirli bir metodun olmamasıdır. Yorumlayıcıların kullanımı tehlikelidir, öyle ki bu kullanımın önemi, ek dikkat gerektirir: ● Girilen verilerin doğrulanması: Bunun için, öncelikle gelen verilerin uzunluğu, tipi, sözdizimi ve yerine göre kullanım kurallarını kontrol edildikten sonra verinin görüntülenebileceği veya kayıt edilebileceği, standart bir doğrulama mekanizması kullanılır. Bunun için "Bilginin iyi niyetli olduğu kabul edildi" doğrulama stratejisi kullanılmalıdır. Potansiyel kötü niyetli veriler reddedilerek, sistemden sterilize edilmelidir. Unutulmaması gereken bir nokta hata mesajlarının içeriği saldırganın işine yarayacak bilgi içermemelidir. ● API’lerde güçlü sorgu parametre tipleri kullanılmalıdır. Depolanmış prosedürler çağrıldığında, işaretçilerin yerine güçlü tipteki sorgular koyulmalıdır. ● En düşük ayrıcalık verilmeli. Veritabanına ve diğer arka plan uygulamalarına bağlanıldığında en düşük imtiyaz ile bağlanılmalıdır. ● Detaylı hata mesajlarından kaçınılmalı. Saldırganın kullanabileceği detaylı hata mesajlarından kaçınılmalıdır. ● Kayıt edilmiş prosedürler kullanılmalıdır. Çünkü genellikle SQL enjeksiyonda bu yöntem güvenlidir. Bunun yanında, dikkatli bir şekilde enjeksiyon yapılabilir (Örneğin exec() kullanılarak veya kayıtlı prosedürleri içeren argümanlar birbirine bağlanması ile...) ● Dinamik sorgu arayüzlerini kullanmayın. (Örneğin mysql_query() veya benzerleri...) ● Basit kaçış fonksiyonlarını kullanmayın. Örneğin PHP’nin addslashes() veya yerine koyma fonksiyonu str_replace("’", "’’"). Bu fonksiyonlar saldırganlar için zayıflık oluşturacaktır. PHP için, MySQL kullanılıyorsa mysql_real_escape_string() kullanılır veya tercihan PDO kullanılabilir, böylece escape gerektirmez. ● Basit escape mekanizması kullanıldığı zaman , basit escape fonksiyonları, escape tablo isimleri olmamalıdır. Tablo isimleri SQL’e uygun isimlerde olmalı ve bu kullanıcı kaynaklı veri girişleri ile ilgili olmamalıdır. ● Varsayılan hata çıktılarını izlenmesi : Çoğunlukla sisteme gelen verilerin kodu çözümlenmeli ve ardından kullanılan dahili yazılım ile gösterilmeden önce kontrol edilmelidir. Elbette ki uygulamanız iki kez girilen benzer veri girişlerinin kodu çözümlenemeyebilecektir. Bu şekilde tehlikeli veri girişleri ile hatalar kullanılarak, kontrol işlemini gerçekleştiren beyaz liste şemaları atlatılabilir. Kullanılan dil için belirli öneriler: ● Java EE- Güçlü tipte PreparedStatement kullanılmalı veya ORM’lerdeki Hibernate veya spring...
alıntıdır... | |
| | | ByBur4q 12.Seviye
Mesaj Sayısı : 182 Rep Gücü : 304 Rep Gücü : 4 Kayıt tarihi : 21/09/09 Yaş : 35 Nerden : Balıkesir
| Konu: Geri: injection açıkları . Paz Kas. 29, 2009 10:19 am | |
| Hım COk saol .. Altınada Alıntı Yazmsın Ewet Hep Böyle :d Alıntıysa Alıntı Yazcan Dimi knk | |
| | | | injection açıkları . | |
|
Similar topics | |
|
| Bu forumun müsaadesi var: | Bu forumdaki mesajlara cevap veremezsiniz
| |
| |
| |