RedHack’in paylaştığı kullanıcı adı ve parola ile girenlerin tamamı aslında farkında olmadan çok bilinen bir hack yöntemini uygulamış oldular. Bu yönteme SQL injection deniyor. Düşünün ki, yöntemin nasıl uygulandığını Wikipedia‘da bile bulmak mümkün.
Çok büyük maliyetlerle yapılan internet sitelerinin böylesine kolay bir yöntemle hack’lenebiliyor olması hayli düşündürücü. 2000′li yılların başından beri bilinen SQL injection yöntemi, sistem güvenliği konusunda akla gelen ilk handikaplardan biri. Dolayısıyla geliştiriciler sistem inşa ederken ilk olarak buna karşı önlem alıyor.
Peki nasıl yapılıyor?
Kullanıcı adı ve parola kullanılarak giriş yapılan bir sistem düşünelim. SQL injection ile girişe izin verebilecek sorgu tipi aşağıda yer alıyor.
Select UserId from users Where username = ‘KULLANICIADI’ AND password = ‘PAROLA’
Sorguda kullanıcı adı yerine KULLANICIADI ve parola yerine de PAROLA yazdığımızı ve giriş yapmaya çalıştığımızı düşünebiliriz. Bu şekilde tabii ki giriş yapamıyoruz. Fakat KULLANICIADI ve PAROLA olarak RedHack’in belirttiği gibi “‘or”=’” yazıldığında program böyle bir kullanıcının var olduğunu sanıyor ve girişe izin veriyor…
SQL injection’a izin vermemek için sistem yöneticisi tarafından yapılması gerekense aslında çok basit. Kullanıcı adını ve parolayı salt birer bilgi yerine parametre haline getirmek gerekiyor:
Select UserId from users Where username = @KULLANICIADI AND password = @PAROLA
Burada artık @KULLANICIADI ve @PAROLA birer parametre haline gelmiş oldu ve programatik olarak bu parametrelerin yerine tanımlanacak veri ne olursa olsun artık SQL injection ile giriş mümkün değil.
As we progress deeper into the digital age, the spheres of technology and finance continue…
Tarayıcınızda gizli mod'da çalıştırmayı devre dışı bırakabilirsiniz. Windows ve macOS için Google Chrome'da, Windows için…
Broadcom, VMware'in ESXi hipervizörünün ücretsiz sürümünü durdurdu. Değişiklik haberi, aracın VMware.com'dan kaldırıldığını ortaya koyan ve…
Kaybolan airpod'unuzu bulmak için aşağıdaki 3 yöntemi kullanabilirsiniz. AirPod'larınızın kaybolması durumunda yerini bulmanıza yardımcı olması…
Vmware ve Broadcom Sanallaştırma öncüsü Vmware, Broadcom tarafından satın alınmasının ardından bazı değişiklikler geçiriyor. Kurumsal…
Google Fotoğraflar, yani One aboneliğinizi iptal etmek mi istiyorsunuz ? Bildiğiniz gibi Google 15 GB…