Teknolojilerin son yıllarda hızla gelişmesi ile birlikte şirketlere yapılan siber saldırılarda artışlar yaşanmaktadır. Bu saldırılardan en önemlilerinden birisi SQL enjeksiyon saldırılarıdır. Şirketlerin ve kurumların en önemli verilerinin tutulduğu yerler veri tabanlarındadır. Veri tabanlarında tutulan veri çeşidi ve miktarı her geçen gün artmaktadır. Çeşitli siber saldırı yöntemlerle savunmasız veri tabanlarına sızmak mümkündür. Gerekli önlemler alınmazsa özellikle de şirketlerin kendi bünyesinden bu sistemlere sızmak çok zor değildir. Profesyonel anlamda hizmet sağlayan web uygulamalarının birçoğu SQL altyapısını kullanan veri tabanı sorgu yapılarını tercih etmektedir. Birçok web tabanlı program kullanıcı isteğine bağlı SQL altyapısı kullanarak sonuçları döndürmektedir ve geliştiricisine bağlı olarak farklı tasarımlarda kullanıcıların hizmetine sunulmaktadır. Ancak web tabanlı uygulamalarda saldırgan tarafından sisteme girilen bazı zararlı cümleciklerle SQL sorgularına enjeksiyon işlemi yapılarak sistem manipüle edilebilmektedir. Sızma işlemi sonrası elde edilen gizli bilgiler kötüye kullanılabilir ve hatta kayıtlar silinip uygulamaya ya da sunucuya zarar verilebilir. Bunlara ilave olarak şirketlerin ve kurumların verilerinin çalınması ile büyük ekonomik zararlara uğramaları kaçınılmazdır. Bu çalışmada SQL enjeksiyon açığı bulunan sistemlerin tespitine dair sızma yöntemleri ve alınabilecek güvenlik önlemleri sunulmuştur. ASP.NET platformu MSSQL tabanlı SQL enjeksiyon açığı bulunan bir web projesi üzerinde saldırı örneği ve analizi gösterilmiştir. Ayrıca web tabanlı uygulamalarda alınabilecek güvenlik önlemleri ve çözüm önerileri sunulmuştur.
With the rapid development of technologies in recent years, there has been an increase in cyber attacks on companies. One of the most important of these attacks is SQL injection attacks. The places where the most important data of companies and institutions are kept are in databases. The type and amount of data kept in databases are increasing day by day. It is possible to infiltrate vulnerable databases through various cyber-attack methods. If the necessary precautions are not taken, it is not very difficult to infiltrate these systems, especially from the companies themselves. Many of the web applications that provide professional services prefer database query structures that use SQL infrastructure. Many web-based programs return results by using SQL infrastructure upon user request and are offered to users in different designs depending on the developer. However, in web-based applications, the system can be manipulated by injecting SQL queries with some harmful phrases entered into the system by the attacker. Confidential information obtained after the infiltration process may be misused, and even the records may be deleted, and the application or server may be damaged. In addition to these, it is inevitable for companies and institutions to suffer great economic losses by stealing their data. In this study, infiltration methods for the detection of systems with SQL injection vulnerability and security measures that can be taken are presented. An attack example and analysis are demonstrated on an ASP.NET platform MSSQL-based web project with SQL injection vulnerability. In addition, security measures and solutions that can be taken in web-based applications are presented.
Primary Language | Turkish |
---|---|
Subjects | Engineering |
Journal Section | Articles |
Authors | |
Publication Date | November 30, 2021 |
Published in Issue | Year 2021 Issue: 28 |