Windows Tabanlı Uygulamalarda SQL Enjeksiyon Siber Saldırı Senaryosu ve Güvenlik Önlemleri

Yıl 2021, Sayı: 28, 213 - 219, 30.11.2021

İsa Avcı , Murat Koca , Merve Atasoy

https://doi.org/10.31590/ejosat.995697

Öz

Teknolojilerin son yıllarda hızla gelişmesi ile birlikte şirketlere yapılan siber saldırılarda artışlar yaşanmaktadır. Bu saldırılardan en önemlilerinden birisi SQL enjeksiyon saldırılarıdır. Şirketlerin ve kurumların en önemli verilerinin tutulduğu yerler veri tabanlarındadır. Veri tabanlarında tutulan veri çeşidi ve miktarı her geçen gün artmaktadır. Çeşitli siber saldırı yöntemlerle savunmasız veri tabanlarına sızmak mümkündür. Gerekli önlemler alınmazsa özellikle de şirketlerin kendi bünyesinden bu sistemlere sızmak çok zor değildir. Profesyonel anlamda hizmet sağlayan web uygulamalarının birçoğu SQL altyapısını kullanan veri tabanı sorgu yapılarını tercih etmektedir. Birçok web tabanlı program kullanıcı isteğine bağlı SQL altyapısı kullanarak sonuçları döndürmektedir ve geliştiricisine bağlı olarak farklı tasarımlarda kullanıcıların hizmetine sunulmaktadır. Ancak web tabanlı uygulamalarda saldırgan tarafından sisteme girilen bazı zararlı cümleciklerle SQL sorgularına enjeksiyon işlemi yapılarak sistem manipüle edilebilmektedir. Sızma işlemi sonrası elde edilen gizli bilgiler kötüye kullanılabilir ve hatta kayıtlar silinip uygulamaya ya da sunucuya zarar verilebilir. Bunlara ilave olarak şirketlerin ve kurumların verilerinin çalınması ile büyük ekonomik zararlara uğramaları kaçınılmazdır. Bu çalışmada SQL enjeksiyon açığı bulunan sistemlerin tespitine dair sızma yöntemleri ve alınabilecek güvenlik önlemleri sunulmuştur. ASP.NET platformu MSSQL tabanlı SQL enjeksiyon açığı bulunan bir web projesi üzerinde saldırı örneği ve analizi gösterilmiştir. Ayrıca web tabanlı uygulamalarda alınabilecek güvenlik önlemleri ve çözüm önerileri sunulmuştur.

Anahtar Kelimeler

SQL Enjeksiyon, Saldırı Tespiti, Savunma Yöntemleri, Siber Güvenlik.

SQL Injection Cyber-Attack Scenario and Security Measures in Windows-Based Applications

Öz

With the rapid development of technologies in recent years, there has been an increase in cyber attacks on companies. One of the most important of these attacks is SQL injection attacks. The places where the most important data of companies and institutions are kept are in databases. The type and amount of data kept in databases are increasing day by day. It is possible to infiltrate vulnerable databases through various cyber-attack methods. If the necessary precautions are not taken, it is not very difficult to infiltrate these systems, especially from the companies themselves. Many of the web applications that provide professional services prefer database query structures that use SQL infrastructure. Many web-based programs return results by using SQL infrastructure upon user request and are offered to users in different designs depending on the developer. However, in web-based applications, the system can be manipulated by injecting SQL queries with some harmful phrases entered into the system by the attacker. Confidential information obtained after the infiltration process may be misused, and even the records may be deleted, and the application or server may be damaged. In addition to these, it is inevitable for companies and institutions to suffer great economic losses by stealing their data. In this study, infiltration methods for the detection of systems with SQL injection vulnerability and security measures that can be taken are presented. An attack example and analysis are demonstrated on an ASP.NET platform MSSQL-based web project with SQL injection vulnerability. In addition, security measures and solutions that can be taken in web-based applications are presented.

Anahtar Kelimeler

SQL Injection, Attack Detection, Defense Methods, Cybersecurity.

Kaynakça

• Alenezi, M., Nadeem, M., Asif, R. (2021). SQL injection attacks countermeasures assessments. Indonesian Journal of Electrical Engineering and Computer Science 2021, 21(2), 1121-1131. doi: 10.11591/ijeecs.v21.i2.
• Altıntaş, B. (2019). Master Thesis a Security Comparison of Oracle, Security Comparison of Oracle, SQL Server and MYSQL Database Management System Against SQL Injection Attack Vulnerablities. Master Thesis, Yasar University, İzmir, Turkiye.
• Avcı, İ. (2021). Investigation of Cyber-Attack Methods and Measures in Smart Grids. Sakarya University Journal of Science, 25 (4), 1049-1060. DOI: 10.16984/saufenbilder.955914.
• Aydoğdu, D., Gündüz, M. S. (2016). Web uygulama güvenliği açıklıkları ve güvenlik çözümleri üzerine bir araştırma. 1, 1–7.
• Boyd, S. W., Keromytis, A. D. (2004). SQLrand: Preventing SQL Injection Attacks. Lecture Notes in Computer Science (Including Subseries Lecture Notes in Artificial Intelligence and Lecture Notes in Bioinformatics), 3089, 292–302, https://doi.org/10.1007/978-3-540-24852-1_21
• Bravenboer, M., Dolstra, E., Visser, E. (2010). Preventing Injection Attacks with Syntax Embeddings. Science of Computer Programming, 75(7), 473–495. https://doi.org/10.1016/j.scico.2009.05.004.
• Buehrer, G., Weide, B. W., Sivilotti, P. A. G. (2005). Using Parse Tree Validation to Prevent SQL Injection Attacks. SEM 2005 - Proceedings of the 5th International Workshop on Software Engineering and Middleware, 106–113.
• Chen, D. et al. (2021). SQL injection attack detection and prevention techniques using deep learning. Journal of Physics: Conference Series, IOP Publishing, 012055.
• Çağlayan, İ. (2004). Yeni Web Teknolojileri Ve Web Uygulamaları. Master Thesis, İstanbul Kültür Üniversitesi, İstanbul, Turkiye.
• Digital2020. (2021) https://datareportal.com/reports/digital-2020-october-global-statshot (Erişim tarihi:11.08.2021)
• Halfond, W. G. et al. (2006). A classification of SQL injection attacks and countermeasures. Proceedings of the IEEE international symposium on secure software engineering, IEEE, 13-15.
• Kara, İ. (2020). Web Hackleme Saldırıları. Ejovoc, vol. 10, 1-6.
• Kareem, F. Q. et al. (2021). SQL injection attacks prevention system technology. Asian Journal of Research in Computer Science, 13-32. doi: 10.9734/AJRCOS/2021/v10i330242.
• Khanna, S., Verma, A. K. (2018). Classification of SQL injection attacks. Advances in Intelligent Systems and Computing, 518,463–469.https://doi.org/10.1007/978-981-10-3373-5_46
• Işık, D. (2013). Üniversite Kütüphanelerinde Web 2.0 Teknolojilerinin Kullanımı ve Web Tabanlı Kullanıcı Eğitimi İçin Öneriler. Türk Kütüphaneciliği, vol. 27(1): 100-116.
• Mouli, V. R., Jevitha, K. P. (2016). Web Services Attacks and Security- A Systematic Literature Review. Procedia Computer Science, 93(September), 870–877. https://doi.org/10.1016/j.procs.2016.07.265
• Natarajan, K., Subramani, S. (2012). Generation of Sql-Injection Free Secure Algorithm to Detect and Prevent Sql-Injection Attacks, Procedia Technology, 4, 790–796. https://doi.org/10.1016/j.protcy.2012.05.129.
• Özarpa, C., Kara, S. A., Avcı, İ. (2020). Siber Güvenlik Savunma Hiyerarşisinde Yeni Bir Eğitim Modeli. 4. Uluslararası Eğitim ve Değerler Sempozyumu, ISOEVA-2020, Karabük, Türkiye, 939-947.
• Ron, A., Shulman-Peleg, A., Bronshtein, E. (2015). No SQL, No Injection? Examining NoSQL Security. http://arxiv.org/abs/1506.04082.
• Ross, K., Moh, M., Moh, T., & Yao, J. (2018). Multi-source data analysis and evaluation of machine learning techniques for SQL injection detection. Proceedings of the ACMSE 2018 Conference.
• SQLInjection|.(2021).https://owasp.org/wwwcommunity/attacks/SQL_Injection (Erişim tarihi:01.09.2021)
• Soewito, B. et al. (2018). Prevention Structured Query Language Injection Using Regular Expression and Escape String. Procedia Computer Science, 135, 678-687.https://doi.org/10.1016/j.procs.2018.08.218
• TÜİK.(2020) https: //tuikweb.tuik.gov.tr/PreHaberBultenleri.do? id=33679 (Erişim tarihi:15.08.2021)
• Vural, Y., Sağiroğlu, Ş. (2008). Kurumsal bi̇lgi güvenli̇ği̇ ve standartları üzeri̇ne bi̇r inceleme. Gazi Üniversitesi Mühendislik Mimarlık Fakültesi Dergisi, Vol. 23, Issue 2, 507–522.