Windows Tabanlı Uygulamalarda SQL Enjeksiyon Siber Saldırı Senaryosu ve Güvenlik Önlemleri

İsa Avcı; Murat Koca; Merve Atasoy

doi:10.31590/ejosat.995697

TR EN

Windows Tabanlı Uygulamalarda SQL Enjeksiyon Siber Saldırı Senaryosu ve Güvenlik Önlemleri

Öz

Teknolojilerin son yıllarda hızla gelişmesi ile birlikte şirketlere yapılan siber saldırılarda artışlar yaşanmaktadır. Bu saldırılardan en önemlilerinden birisi SQL enjeksiyon saldırılarıdır. Şirketlerin ve kurumların en önemli verilerinin tutulduğu yerler veri tabanlarındadır. Veri tabanlarında tutulan veri çeşidi ve miktarı her geçen gün artmaktadır. Çeşitli siber saldırı yöntemlerle savunmasız veri tabanlarına sızmak mümkündür. Gerekli önlemler alınmazsa özellikle de şirketlerin kendi bünyesinden bu sistemlere sızmak çok zor değildir. Profesyonel anlamda hizmet sağlayan web uygulamalarının birçoğu SQL altyapısını kullanan veri tabanı sorgu yapılarını tercih etmektedir. Birçok web tabanlı program kullanıcı isteğine bağlı SQL altyapısı kullanarak sonuçları döndürmektedir ve geliştiricisine bağlı olarak farklı tasarımlarda kullanıcıların hizmetine sunulmaktadır. Ancak web tabanlı uygulamalarda saldırgan tarafından sisteme girilen bazı zararlı cümleciklerle SQL sorgularına enjeksiyon işlemi yapılarak sistem manipüle edilebilmektedir. Sızma işlemi sonrası elde edilen gizli bilgiler kötüye kullanılabilir ve hatta kayıtlar silinip uygulamaya ya da sunucuya zarar verilebilir. Bunlara ilave olarak şirketlerin ve kurumların verilerinin çalınması ile büyük ekonomik zararlara uğramaları kaçınılmazdır. Bu çalışmada SQL enjeksiyon açığı bulunan sistemlerin tespitine dair sızma yöntemleri ve alınabilecek güvenlik önlemleri sunulmuştur. ASP.NET platformu MSSQL tabanlı SQL enjeksiyon açığı bulunan bir web projesi üzerinde saldırı örneği ve analizi gösterilmiştir. Ayrıca web tabanlı uygulamalarda alınabilecek güvenlik önlemleri ve çözüm önerileri sunulmuştur.

Anahtar Kelimeler

SQL Injection Cyber-Attack Scenario and Security Measures in Windows-Based Applications

Öz

With the rapid development of technologies in recent years, there has been an increase in cyber attacks on companies. One of the most important of these attacks is SQL injection attacks. The places where the most important data of companies and institutions are kept are in databases. The type and amount of data kept in databases are increasing day by day. It is possible to infiltrate vulnerable databases through various cyber-attack methods. If the necessary precautions are not taken, it is not very difficult to infiltrate these systems, especially from the companies themselves. Many of the web applications that provide professional services prefer database query structures that use SQL infrastructure. Many web-based programs return results by using SQL infrastructure upon user request and are offered to users in different designs depending on the developer. However, in web-based applications, the system can be manipulated by injecting SQL queries with some harmful phrases entered into the system by the attacker. Confidential information obtained after the infiltration process may be misused, and even the records may be deleted, and the application or server may be damaged. In addition to these, it is inevitable for companies and institutions to suffer great economic losses by stealing their data. In this study, infiltration methods for the detection of systems with SQL injection vulnerability and security measures that can be taken are presented. An attack example and analysis are demonstrated on an ASP.NET platform MSSQL-based web project with SQL injection vulnerability. In addition, security measures and solutions that can be taken in web-based applications are presented.

Anahtar Kelimeler

Kaynakça

Alenezi, M., Nadeem, M., Asif, R. (2021). SQL injection attacks countermeasures assessments. Indonesian Journal of Electrical Engineering and Computer Science 2021, 21(2), 1121-1131. doi: 10.11591/ijeecs.v21.i2.
Altıntaş, B. (2019). Master Thesis a Security Comparison of Oracle, Security Comparison of Oracle, SQL Server and MYSQL Database Management System Against SQL Injection Attack Vulnerablities. Master Thesis, Yasar University, İzmir, Turkiye.
Avcı, İ. (2021). Investigation of Cyber-Attack Methods and Measures in Smart Grids. Sakarya University Journal of Science, 25 (4), 1049-1060. DOI: 10.16984/saufenbilder.955914.
Aydoğdu, D., Gündüz, M. S. (2016). Web uygulama güvenliği açıklıkları ve güvenlik çözümleri üzerine bir araştırma. 1, 1–7.
Boyd, S. W., Keromytis, A. D. (2004). SQLrand: Preventing SQL Injection Attacks. Lecture Notes in Computer Science (Including Subseries Lecture Notes in Artificial Intelligence and Lecture Notes in Bioinformatics), 3089, 292–302, https://doi.org/10.1007/978-3-540-24852-1_21
Bravenboer, M., Dolstra, E., Visser, E. (2010). Preventing Injection Attacks with Syntax Embeddings. Science of Computer Programming, 75(7), 473–495. https://doi.org/10.1016/j.scico.2009.05.004.
Buehrer, G., Weide, B. W., Sivilotti, P. A. G. (2005). Using Parse Tree Validation to Prevent SQL Injection Attacks. SEM 2005 - Proceedings of the 5th International Workshop on Software Engineering and Middleware, 106–113.
Chen, D. et al. (2021). SQL injection attack detection and prevention techniques using deep learning. Journal of Physics: Conference Series, IOP Publishing, 012055.

Çağlayan, İ. (2004). Yeni Web Teknolojileri Ve Web Uygulamaları. Master Thesis, İstanbul Kültür Üniversitesi, İstanbul, Turkiye.
Digital2020. (2021) https://datareportal.com/reports/digital-2020-october-global-statshot (Erişim tarihi:11.08.2021)
Halfond, W. G. et al. (2006). A classification of SQL injection attacks and countermeasures. Proceedings of the IEEE international symposium on secure software engineering, IEEE, 13-15.
Kara, İ. (2020). Web Hackleme Saldırıları. Ejovoc, vol. 10, 1-6.
Kareem, F. Q. et al. (2021). SQL injection attacks prevention system technology. Asian Journal of Research in Computer Science, 13-32. doi: 10.9734/AJRCOS/2021/v10i330242.
Khanna, S., Verma, A. K. (2018). Classification of SQL injection attacks. Advances in Intelligent Systems and Computing, 518,463–469.https://doi.org/10.1007/978-981-10-3373-5_46
Işık, D. (2013). Üniversite Kütüphanelerinde Web 2.0 Teknolojilerinin Kullanımı ve Web Tabanlı Kullanıcı Eğitimi İçin Öneriler. Türk Kütüphaneciliği, vol. 27(1): 100-116.
Mouli, V. R., Jevitha, K. P. (2016). Web Services Attacks and Security- A Systematic Literature Review. Procedia Computer Science, 93(September), 870–877. https://doi.org/10.1016/j.procs.2016.07.265
Natarajan, K., Subramani, S. (2012). Generation of Sql-Injection Free Secure Algorithm to Detect and Prevent Sql-Injection Attacks, Procedia Technology, 4, 790–796. https://doi.org/10.1016/j.protcy.2012.05.129.
Özarpa, C., Kara, S. A., Avcı, İ. (2020). Siber Güvenlik Savunma Hiyerarşisinde Yeni Bir Eğitim Modeli. 4. Uluslararası Eğitim ve Değerler Sempozyumu, ISOEVA-2020, Karabük, Türkiye, 939-947.
Ron, A., Shulman-Peleg, A., Bronshtein, E. (2015). No SQL, No Injection? Examining NoSQL Security. http://arxiv.org/abs/1506.04082.
Ross, K., Moh, M., Moh, T., & Yao, J. (2018). Multi-source data analysis and evaluation of machine learning techniques for SQL injection detection. Proceedings of the ACMSE 2018 Conference.
SQLInjection|.(2021).https://owasp.org/wwwcommunity/attacks/SQL_Injection (Erişim tarihi:01.09.2021)
Soewito, B. et al. (2018). Prevention Structured Query Language Injection Using Regular Expression and Escape String. Procedia Computer Science, 135, 678-687.https://doi.org/10.1016/j.procs.2018.08.218
TÜİK.(2020) https: //tuikweb.tuik.gov.tr/PreHaberBultenleri.do? id=33679 (Erişim tarihi:15.08.2021)
Vural, Y., Sağiroğlu, Ş. (2008). Kurumsal bi̇lgi güvenli̇ği̇ ve standartları üzeri̇ne bi̇r inceleme. Gazi Üniversitesi Mühendislik Mimarlık Fakültesi Dergisi, Vol. 23, Issue 2, 507–522.

Ayrıntılar

Birincil Dil

Türkçe

Konular

Mühendislik

Bölüm

Araştırma Makalesi

Yazarlar

İsa Avcı ^*
0000-0001-7032-8018
Türkiye

Murat Koca
0000-0002-6048-7645
Türkiye

Merve Atasoy
0000-0001-9400-5694
Türkiye

Yayımlanma Tarihi

30 Kasım 2021

Gönderilme Tarihi

15 Eylül 2021

Kabul Tarihi

16 Eylül 2021

Yayımlandığı Sayı

Yıl 2021 Sayı: 28

DOI

https://doi.org/10.31590/ejosat.995697

IZ

https://izlik.org/JA99WT85YA

Kaynak Göster

RIS / Bibtex

APA

Avcı, İ., Koca, M., & Atasoy, M. (2021). Windows Tabanlı Uygulamalarda SQL Enjeksiyon Siber Saldırı Senaryosu ve Güvenlik Önlemleri. Avrupa Bilim ve Teknoloji Dergisi, 28, 213-219. https://doi.org/10.31590/ejosat.995697

AMA

1.Avcı İ, Koca M, Atasoy M. Windows Tabanlı Uygulamalarda SQL Enjeksiyon Siber Saldırı Senaryosu ve Güvenlik Önlemleri. EJOSAT. 2021;(28):213-219. doi:10.31590/ejosat.995697

Chicago

Avcı, İsa, Murat Koca, ve Merve Atasoy. 2021. “Windows Tabanlı Uygulamalarda SQL Enjeksiyon Siber Saldırı Senaryosu ve Güvenlik Önlemleri”. Avrupa Bilim ve Teknoloji Dergisi, sy 28: 213-19. https://doi.org/10.31590/ejosat.995697.

EndNote

Avcı İ, Koca M, Atasoy M (01 Kasım 2021) Windows Tabanlı Uygulamalarda SQL Enjeksiyon Siber Saldırı Senaryosu ve Güvenlik Önlemleri. Avrupa Bilim ve Teknoloji Dergisi 28 213–219.

IEEE

[1]İ. Avcı, M. Koca, ve M. Atasoy, “Windows Tabanlı Uygulamalarda SQL Enjeksiyon Siber Saldırı Senaryosu ve Güvenlik Önlemleri”, EJOSAT, sy 28, ss. 213–219, Kas. 2021, doi: 10.31590/ejosat.995697.

ISNAD

Avcı, İsa - Koca, Murat - Atasoy, Merve. “Windows Tabanlı Uygulamalarda SQL Enjeksiyon Siber Saldırı Senaryosu ve Güvenlik Önlemleri”. Avrupa Bilim ve Teknoloji Dergisi. 28 (01 Kasım 2021): 213-219. https://doi.org/10.31590/ejosat.995697.

JAMA

1.Avcı İ, Koca M, Atasoy M. Windows Tabanlı Uygulamalarda SQL Enjeksiyon Siber Saldırı Senaryosu ve Güvenlik Önlemleri. EJOSAT. 2021;:213–219.

MLA

Avcı, İsa, vd. “Windows Tabanlı Uygulamalarda SQL Enjeksiyon Siber Saldırı Senaryosu ve Güvenlik Önlemleri”. Avrupa Bilim ve Teknoloji Dergisi, sy 28, Kasım 2021, ss. 213-9, doi:10.31590/ejosat.995697.

Vancouver

1.İsa Avcı, Murat Koca, Merve Atasoy. Windows Tabanlı Uygulamalarda SQL Enjeksiyon Siber Saldırı Senaryosu ve Güvenlik Önlemleri. EJOSAT. 01 Kasım 2021;(28):213-9. doi:10.31590/ejosat.995697

Cited By

Deep Learning vs. Machine Learning in Sentiment Classification: A Comparative Analysis of Mobile Game Tweets from the X Platform

Erzincan Üniversitesi Fen Bilimleri Enstitüsü Dergisi

https://doi.org/10.18185/erzifbed.1667207

Windows Tabanlı Uygulamalarda SQL Enjeksiyon Siber Saldırı Senaryosu ve Güvenlik Önlemleri

Windows Tabanlı Uygulamalarda SQL Enjeksiyon Siber Saldırı Senaryosu ve Güvenlik Önlemleri

Öz

Anahtar Kelimeler

SQL Injection Cyber-Attack Scenario and Security Measures in Windows-Based Applications

Öz

Anahtar Kelimeler

Kaynakça

Ayrıntılar

Birincil Dil

Konular

Bölüm

Yazarlar

Yayımlanma Tarihi

Gönderilme Tarihi

Kabul Tarihi

Yayımlandığı Sayı

DOI

IZ

Kaynak Göster

Cited By

Deep Learning vs. Machine Learning in Sentiment Classification: A Comparative Analysis of Mobile Game Tweets from the X Platform

A federated transformer-enhanced double Q-network for collaborative intrusion detection

A Bibliometric Analysis of Maritime Cybersecurity: Trends, Themes, and Collaboration Patterns

Nesnelerin interneti (IoT) uygulamalarında güvenlik ve gizliliğe duyarlı veri iletiminin enerji tüketimi