sQL Injection Dersleri Başladı | bildirgec.org

Bu SQL Enjeksiyon olayı neden bu kadar rabet görür bunu bir türlü çözemedim. Mesela "sistemdeki açıkları başkalarının sizin yüzünüze vurmasına vesile olur" kabilinden bir yaklaşım ise, evet, olabilir ama bunu bu amaçla kullanmayacak hatırı sayılır bir embesil zümresi de yok değil. Açıklanacak bilgi var açıklanmayacak bilgi var, her teknik bilgi de açıklanmaz ki...

Bu arada Madem SQL Enjeksiyon anlatılmış ben de en basitinden bu mendeburdan nasıl korunulur onunla ilgili küçük bir "anekdot" açıklayayım madem.

x = Request.form("falan")

kısmında şöyle bir değişiklik yapmanız gerekiyor.

x = Temizle(Request.form("falan"))

Bu temizle nereden gelmiş diyeceksiniz; onun açılımı da şu;

Function Temizle(Metin)

Metin = Replace(Metin, "--", "-")

Metin = Replace(Metin, "/*", "-")

Metin = Replace(Metin, "'", "’")

Temizle = Metin

End Function

bilmem anlatabiliyormuyum...

ferruh abimiz sı.sa bu ülkeye başbakandan daha büyük faydası olur

bu tür bilgiler, kötü amaçlı kullanılabileceği gibi çok fazla hayat da kurtarabilir. nasıl kötü amaçlı afacanlar araştırıp bozmayı seviyorsa, kodlayan kişi de bir o kadar araştırıp kendini geliştirmeli bu makaleler aracılığıyla.

evet , böylelikle bilgi seviyesi artacağı için bü tür açıklar zamanla kalmayacaktır.Eğer bu konuda sadece bunu kötü niyetle kullananlar haberdar olurlarsa "sql injection" çukuruna herkes düşecektir.Ama herkes bu konuda bilgi sahibi olursa , site kodlayan arkadaşlar daha az hata , hatta hiç hata yapmayacaklar.Böylelikle bu tü açıklar, zamanla tarihteki yerini alacaklar.

bu sql injection olayı nasıl bukadar yaygın anlamıyorum. resmen "görünen köy kılavuz istemez" diyebileceğimiz cinsinden bir açık bu; Ferruh maviturna çok güzel hazırlamış dökümanları, umarım faydası olur insalığa

@uparlayan ---- post edilirse fonksiyonunuz yine de düzgün çalışıyor mu?

kendimi ispat etme çabasında değilim, bu açıdan yanlış anlaşılmak istemiyorum. işlenen konunun uluorta işlenecek bir konu olmadığına dikkat çekme amacındayım. Verdiğim asp örneğinde de bahsettiğim gibi o örnek bir anekdottu, daha gelişmiş bir örnek istiyorsanız aşağıdaki kodu kendiniz geliştirin;

Function Temizle(Metin)

dim eski,yeni

eski = "--": yeni = "-": do while InStr(metin,eski)>0: Metin = Replace(Metin, eski, yeni): loop

eski = "/*": yeni = "-": do while InStr(metin,eski)>0: Metin = Replace(Metin, eski, yeni): loop

eski = "'": yeni = "’": do while InStr(metin,eski)>0: Metin = Replace(Metin, eski, yeni): loop

Temizle = Metin

End Function

x_Baslik = Temizle(Request.Form("x_Baslik"))

x_Haber = Temizle(Request.Form("x_Haber"))

Bu tür şeyler açıkta alenen olmamalı diyorsun da... Buralarda olmasın da nerede olsun ? İnternet'te yabancı kaynaklar sayesinde rahatlıkla erişebildiğimiz bu konu hakkında Türkçe kaynak neredeyse yok denecek kadar azken böyle bir anlayışı ben hiç doğru bulmuyorum. Açıklar yüzüstüne çıkarılmalı ki insanlar onları kapatsın ve daha doğru bir iş çıkarsınlar ortaya.

zarar vermek isteyenler bir şekilde bu bilgilere zaten ulaşır. Daha çok göz önünde olursa, bunları kullanarak saldırı yapmak isteyenler çoğalacaktır ama bu yöntemi bu şekilde keşfedenler zaten acemi olacağından, pek tehlikeli olmazlar. Ayrıca bu, bir tür bilinçlenme sağlar ve asp kodlayan arkadaşlar daha dikkatli olurlar.

Sadece ASP için değil , neredeyse bütün web sistemlerinin SQL ile bir bağımlılığı var.
Örnek olarak Ferruh Mavituna ASP kullanıyor ama bunu PHP ye ya da herhangi bir dile uyarlamak mümkün , çünkü dil değişsede , SQL deyimleri değişmiyor.

Arkadaşın biri demiş ki;

"İnternet'te yabancı kaynaklar sayesinde rahatlıkla erişebildiğimiz bu konu hakkında Türkçe kaynak neredeyse yok denecek kadar azken böyle bir anlayışı ben hiç doğru bulmuyorum."

arkadaşım sen sorunun bir parçası mısın çözümün bir parçası mısın?

Tam aksine ben de senin "anlayışını" anlayamıyorum. Düşünebiliyor musun acaba, sırf geyik olsun diye insanların günlerini gecelerine katarak çalışıp, didinip tırnaklarıyla kurdukları web sitelerini sümük iki veledin çökertmek için çaba sarfettiğini... Yani bu senin başına gelse acaba çok merak ediyorum o bahsettiğin anlayışın neresine sığınacaksın? Hiç zannetmiyorum ki gel bilader şu benim web sitemi bir de sen çökertiver elin değmişken mi diyeceksin? Hiç zannetmiyorum, güldürme lütfen beni...

Ayrıca, web sitesi programlayan kişiler, bu tür ulvi hackleme kaynakları olmasa bile, zaten bu tür önlemleri almak zorundalar, çünkü işlerinin getirdiği bir zorunluluk.

Not: Ferruh'u tanırım, yanyana çalıştığımız çok kısa bir dönem de oldu, iyi bir insan, söylediklerim ferruh'un iyi ve saygıdeğer kişiliği ile ilgili değil.

Sorunu ele alalım:
Birinin sitesi sümüklü iki veledin kıracağı kadar kötü kodlanmış. Bu sümüklü iki veledin mi suçu yoksa , sümüklü iki veledin kıracağı kadar kötü kodlama yapan zat'ın mı suçu?
Kodlayan kişi bu konuda eğitimsiz ki , sağlam kodlama yapamıyor.
Şimdi bu tür makalelerle açığa çıkarılan yöntemler daha kullanılamaz. Böyle makaleler arttıkça SQL injection lar tarihe karışır.
Ama işin üstünü kapattıkça , halının altına sürpürdükçe , o sümüklü iki veledin eline koz vermiş olursunuz(oluruz).
Soruyorum size bütün bu tür hackerlık , lamerlik yöntemleri bilinse bir çok site kırılamaz olur,öyle değil mi?

1. sümüklü iki velette
2. sümük bulaşmaması için mendil kullanmayan programcıda
3. sümüklü veletlere, sümük bulaştırabilme olanaklarının olduğunu anlatan bu tür yazılarda

1. bende
2. sende
3. sümüksüz veletlerde
4. madur konumuna düşen site kullanıcıları zümresinde

nasrettin hocanın bi gece vakti eşeği çalınmış, binbir feryat figânla birlikte yandım anam diye yaygara kopartmış, evin etrafında toplanan komşuları bi vakit sonra demiş ki, hoca kapıyı açık bırakmışsın suç sende, kilit kullanmamışsın suç sende, eşeği bağlamamışsın suç sende, falan yapmamışsın suç sende, filan yapmamışsın suç sende...

canı eşeğinde kalan nasrettin hoca en sonunda dayanamayıp demiş ki "yahu hırsızın hiç mi suçu yok?"

suç işleme yaşının iyice aşağılara indiği şu dönemde, o makalenin yayınlanması her türlü iyi niyeti bir yana bırakırsak, sonuçları açısından o iki sümüklü veleti korsanlığa teşvik etmiş olmuyor muyuz sizce ?

sümüğü akan velet, elbette bu bilgilere ulaşacaktır. Kimde mendil yoksa da ona dadanacaktır. Herkesin mendil edinmesi adına, iyi bir şey.

bak içerledim şimdi, Hacker'ların bilmenizi istemediği şeyler başlıklı yazımı bildirgeç'ten geri çevirmişlerdi

Aralarında anlaşmazlık çıkan iki kişi Nasrettin Hoca ya danışmaya gelmişler.
Biri derdini anlatmış, Nasrettin Hoca haklısın demiş.
Diğeride derdini anlatmış. Nasrettin Hoca onada haklısın demiş. O sırada çayları vermekte olan Karısı atlamış,
"Bu nebiçim şey Hoca! ikisine de haklısın dedin?"
Hoca bi an düşünmüş ve karısına dönüp :
"sen de haklısın" demiş.

uparlayan kardeşim sende haklısın ama bunları görmemezlikten gelmek daha kötü olurdu.

yahu saçma, ben anlamıyorum
kimisi güvenlik vesvesesi altında hack, crack ne var döktürüyor
kimide böylesi.
bence izlenen tutum hatalı
ek olarak; (tek/çift tırnak)
veri = replace(veri,chr(34),"")
veri = replace(veri,chr(39),"")
veri = replace(veri,"<", "& lt;")
veri = replace(veri,">", "& qt;")

yada

veri = Server.HTMLEncode(veri)

uparlayan: Merak etme, bahsettiğin şey başıma geldi. Hatta öyle bir zamanda geldi ki size Teknoloji TV'de yayınlanmıştı ve hitler giderek artarken PHP Nuke'teki bir açığın kullanılması yüzünden geldi. SQL Injection ile ve de... Kısaca başıma geldi. Yani başıma gelip gelmediğini bilmeden aslında yorum yapman yanlış.

Neyse; herkesin düşüncesi kendine elbette.. Bana göre ortada tartışmaya değer bir konu da yok yani.. :) Biri bilgilendirici maiyette gayet güzel bir yazı yazmış.. Bilmediğim SQL Injection yöntemleri görmüş oldum. Yaptığım yazılımlarda bu olaylara dikkat edeceğim. İyi ki de yazılmış o yazılar..

:) ukala, sanki senin başına geldi de benim başıma gelmedi... hayret bişey :)

Ayrıca @mnc: Server.HTMLEncode kullandığın zaman biçimlendirilmiş metin kullanamıyorsun...