Redhack Nasıl Hack’liyor ?

RedHack, dün Diyanet İşleri Başkanlığı’na ait web sitesinin veri tabanına giriş yaptı ve bunun nasıl yapılabileceğini Twitter hesabı üzerinden herkesle paylaştı.

RedHack’in paylaştığı kullanıcı adı ve parola ile girenlerin tamamı aslında farkında olmadan çok bilinen bir hack yöntemini uygulamış oldular. Bu yönteme SQL injection deniyor. Düşünün ki, yöntemin nasıl uygulandığını  Wikipedia‘da bile bulmak mümkün.

Çok büyük maliyetlerle yapılan internet sitelerinin böylesine kolay bir yöntemle hack’lenebiliyor olması hayli düşündürücü. 2000′li yılların başından beri bilinen SQL injection yöntemi, sistem güvenliği konusunda akla gelen ilk handikaplardan biri. Dolayısıyla geliştiriciler sistem inşa ederken ilk olarak buna karşı önlem alıyor.

Peki nasıl yapılıyor?

Kullanıcı adı ve parola kullanılarak giriş yapılan bir sistem düşünelim. SQL injection ile girişe izin verebilecek sorgu tipi aşağıda yer alıyor.

Select UserId from users Where username = ‘KULLANICIADI’ AND password = ‘PAROLA’

Sorguda kullanıcı adı yerine KULLANICIADI ve parola yerine de PAROLA yazdığımızı ve giriş yapmaya çalıştığımızı düşünebiliriz. Bu şekilde tabii ki giriş yapamıyoruz. Fakat KULLANICIADI ve PAROLA olarak RedHack’in belirttiği gibi “‘or”=’” yazıldığında program böyle bir kullanıcının var olduğunu sanıyor ve girişe izin veriyor…

SQL injection’a izin vermemek için sistem yöneticisi tarafından yapılması gerekense aslında çok basit. Kullanıcı adını ve parolayı salt birer bilgi yerine parametre haline getirmek gerekiyor:

Select UserId from users Where username = @KULLANICIADI AND password = @PAROLA

Burada artık @KULLANICIADI ve @PAROLA birer parametre haline gelmiş oldu ve programatik olarak bu parametrelerin yerine tanımlanacak veri ne olursa olsun artık SQL injection ile giriş mümkün değil.