SQL ĐNJECTĐON VE BĐLGĐ GÜVENLĐĞĐ



Benzer belgeler
VERİ TABANLARINI BEKLEYEN TEHLİKELER: ŞIRINGA EDİLEN SQL İFADELERİ

Güvenlik Java ve Web Uygulama Güvenliği

İNTERNET PROGRAMCILIĞI HAFTA MYSQL - PHPMYADMIN. Hazırlayan Fatih BALAMAN. İçindekiler. Hedefler. Mysql Nedir.

Veri Tabanı-I 1.Hafta

VERİ TABANI UYGULAMALARI

Web Uygulama Güvenliği Kontrol Listesi 2010

VERİ GÜVENLİĞİ. Web Uygulamaları Güvenliği. Özer Çelik Matematik-Bilgisayar Bölümü

1.PROGRAMLAMAYA GİRİŞ

Web Application Penetration Test Report

Bölüm 10: PHP ile Veritabanı Uygulamaları

Veritabanı Uygulamaları Tasarımı

Öğr. Gör. Serkan AKSU 1

Dünyada Veri Kaçağı ve Veri Kaçağı Önleme (DLP) Sistemleri Tahsin TÜRKÖZ Bilişim Sistemleri Güvenliği Grubu

Kets DocPlace LOGO Entegrasyonu

PHP I PHP I. E. Fatih Yetkin. 26 Eylül 2011

Veri Tabanı Yönetim Sistemleri Bölüm - 3

KAMU İÇ DENETİM YAZILIMI KULLANICI EĞİTİMİ

BLIND SQL INJECTION SALDIRILARI

BİLGİSAYAR VE AĞ GÜVENLİĞİ ÖĞR. GÖR. MUSTAFA ÇETİNKAYA DERS 2 > AĞ VE UYGULAMA GÜVENLİĞİ

PHP ile İnternet Programlama

SQUİD PROXY İLE GERÇEK ZAMANLI WEB TRAFİK KONTROLÜ

1 Temel Kavramlar. Veritabanı 1

Veritabanı Yönetimi Bilgisayarların. Keşfi Hedefler. Veritabanı, Veri ve Bilgi. Veritabanı, Veri ve Bilgi. Veritabanı, Veri ve Bilgi

FIRAT ÜNİVERSİTESİ WEB TABANLI KÜTÜPHANE OTOMASYONU

VERİ TABANI PROGRAMCILIĞI DALI

İnternet Programcılığı

Kepware Veritabanı Ürünleri. Teknolojiye Genel Bir Bakış

30 Mayıs ETASQLMNG Programına giriş

Veritabanı. Ders 2 VERİTABANI

Bölüm 1: Veritabanı Yönetim Sistemlerine Giriş

VERİ TABANI YÖNETİM SİSTEMLERİ I

YZM 3215 İleri Web Programlama

State Yönetimi. Bir web sayfası ile sunucu arasındaki etkileşim ;

Microsoft SQL Server 2008 Oracle Mysql (Ücretsiz) (Uygulamalarımızda bunu kullanacağız) Access

Bilgi Güvenliği Farkındalık Eğitimi

UZAKTAN EĞİTİM MERKEZİ

PHP 1. Hafta 1. Sunum

Script. Statik Sayfa. Dinamik Sayfa. Dinamik Web Sitelerinin Avantajları. İçerik Yönetim Sistemi. PHP Nedir? Avantajları.

Turquaz. Açık kodlu muhasebe yazılımı Turquaz Proje Grubu

DAO İLE SQL KOMUTLARI. Sql komutlarını artık veri tabanında kullanmaktan başka çaremiz yok arkadaşlar. Şimdi bu sql derslerimize başlayalım.

1. VERİ TABANI KAVRAMLARI VE VERİ TABANI OLUŞTUMA

İngilizce'de Relational Database Management System (RDBMS) olarak ifade edilir.

İçDen Kamu İç Denetim Yazılımı. Euphoria Aegean Resort Hotel Seferihisar / İzmir /88

Misafirlerinize internet hizmeti sunmanın en güvenli yolu!

Bu makalede 2003 sunucu, Windows 2003 Server anlamına gelmektedir. Aşağıda yapılan işlemler 2003 R2 sunucu üzerinde denenmiş ve çalıştırılmıştır.

SİSTEM İHTİYAÇLARI (Tiger Enterprise / Tiger 3 Enterprise)

BIM 312 Database Management Systems. Veritabanı Kavramına Giriş

BioAffix Ones Technology nin tescilli markasıdır.

testo Saveris Web Access Yazılım Kullanım kılavuzu

Bundan 20 yıl kadar önce, bilgi işlem servisleri günümüzdeki kadar yaygın kullanılmadığından, bilişim sistemleri günümüzdeki kadar önemli bir yere

Sisteminiz Artık Daha Güvenli ve Sorunsuz...

Eskişehir Osmangazi Üniversitesi İnşaat Mühendisliği Bölümü Akademisyenler İçin Dinamik Web Sistemi Uygulaması

V14xx Güncelleme İşlemleri

Bilgi Sistemleri ve Güvenliği

Armitage Nedir? Kullanım Öncesi

2 Temel Kavramlar (Devam) Veritabanı 1

SİSTEM İHTİYAÇLARI (Tiger Plus / Tiger 3)

BioAffix Ones Technology nin tescilli markasıdır.

Coslat Monitor (Raporcu)

=A1+A2-A3, =A1*A2/A3,

BİLGİ GÜVENLİĞİ VE ZARARLI YAZILIMLAR. Bilgi Güvenliği: Kendimize ait olan bilginin başkasının eline geçmemesidir.

BÖLÜM 8. Bilişim Sistemleri Güvenliği. Doç. Dr. Serkan ADA

Fırat Üniversitesi Personel Bilgi Sistemi Penetrasyon(Sızma) Testi

KURUM AĞLARINI ÖNEMLĠ ZARARLI YAZILIM SALDIRILARINDAN KORUMA. Osman PAMUK

Ortamınızda A.D. veya LDAP sistemi var ise aşağıdaki linkten KoruMail LDAP-AD isimli dokümanı inceleyebilirsiniz.

Bilgisayar Ağları ve Ağ Güvenliği DR. ÖĞR. ÜYESİ KENAN GENÇOL HİTİT ÜNİVERSİTESİ ELEKTRİK-ELEKTRONİK MÜH.

Kurumsal Bilgi Güvenliği ve Siber Güvenlik

BioAffix Ones Technology nin tescilli markasıdır.

Venatron Enterprise Security Services W: P: M:

PLC (Programlanabilir Kontrol Cihazı) TABANLI SİSTEMLERİN İNTERNET ÜZERİNDEN İZLENMESİ

WEB SUNUCU GÜVENLİĞİ: Web Siteleri Neden Hacklenir?

DSİ kapsamında oluşturulan dağınık durumdaki verilerinin düzenlenmesi, yeniden tasarlanarak tek bir coğrafi veri tabanı ortamında toplanması,

Siber Teröristlere Karşı Kurumlar Nasıl Korunmalıdır? Yusuf TULGAR NetDataSoft Genel Müdürü

İNTERNET PROGRAMCILIĞI DERSİ ÇALIŞMA SORULARI

Selective Framebusting

BİLGİ İŞLEM DAİRE BAŞKANLIĞI BİLGİ İŞLEM HİZMETLERİ PROSEDÜRÜ

(Bilgisayar ağlarının birbirine bağlanarak büyük bir ağ oluşturmasıdır)

Yeni Nesil Ağ Güvenliği

8. HAFTA KBT204 İNTERNET PROGRAMCILIĞI II. Öğr.Gör. Hakan YILMAZ.

BTP 207 İNTERNET PROGRAMCILIĞI I. Ders 1

5651 ve 5070 Sayılı Kanun Tanımlar Yükümlülükler ve Sorumluluklar Logix v2.3 Firewall. Rekare Bilgi Teknolojileri

İNTERNET PROGRAMLAMA II. Tanımlar

Bilgisayarda Programlama. Temel Kavramlar

Bilgisayar Teknolojileri Bölümü Bilgisayar Programcılığı Programı. Öğr. Gör. Cansu AYVAZ GÜVEN

Web Uygulama Pentest Eğitimi

Veri Tabanı Tasarım ve Yönetimi

Güvenli Doküman Senkronizasyonu

SQL Uyarı Programı Kurulum ve Kullanımı

Arş.Gör.Muhammet Çağrı Gencer Bilgisayar Mühendisliği KTO Karatay Üniversitesi 2015

Bilgi Güvenliği Nedir? Bilgi Güvenliğinde Saldırı Kavramı. Bilgi Güvenliğinde Saldırı Örneği : SPAM Mail

Internet Programming I. Hafta I. Elbistan Meslek Yüksek Okulu Güz Yarıyılı. Öğr. Gör. Murat KEÇECĠOĞLU

1. HAFTA KBT204 İNTERNET PROGRAMCILIĞI II. Öğr.Gör. Hakan YILMAZ.

Veri Tabanı-I 1.Hafta

Ağ Yönetiminin Fonksiyonel Mimarisi

Veritabanı Sızma Testleri Türk Standardları Enstitüsü Yazılım Test ve Belgelendirme Dairesi Başkanlığı

Elektronik Dergi ve Veri Tabanlarına Kampus Dışından Erişim

Web Formlar ve Sayfalar Arasında Bilgi Gönderme. BATML İnternet Programcılığı 1

Transkript:

MYO-ÖS 2010- Ulusal Meslek Yüksekokulları Öğrenci Sempozyumu 21-22 EKĐM 2010-DÜZCE SQL ĐNJECTĐON VE BĐLGĐ GÜVENLĐĞĐ Đbrahim Taha ĐPEK Kübra AVCI Ankara Meslek Yüksekokulu Fatih Üniversitesi ANKARA taha@tahaipek.com kubraavci90@hotmail.com ÖZET SQL Injection veritabanı sorgularının içerisine dışarıdan zararlı veri ekleme işlemine verilen addır. Dinamik web sayfalarında bir veritabanı ve o veritabanı üzerinde çalışan SQL sorguları vardır. Bu sorgular bir veya birden fazla tablodan veriler çekerek etkileşimi sağlamaktadır. Web uygulamaları genelde kullanıcıyla etkileşime geçerek dinamik bir arayüz sunmaktadırlar. Etkileşim sırasında kullanıcıdan bir takım girdiler (formdan, URL sorgularından, çerezlerden vs.) alıp bu girdileri uygulama içinde işleme sokmakta ve belli bir çıktı vermektedirler. Uygulama veri tabanı üzerinde gerekli sorguları çalıştırarak veriler elde etmektedir. Đşte SQL Injection bu işlemler sırasında devreye girer. Kullanıcıdan alınan veriler içinde, zararlı olabilecek ifadelerin kontrol edilmediği durumlarda sorgu yapısı değiştirilmiş ve zararlı sorgular veritabanı üzerinde çalıştırılmış olur. SQL Injection ataklarının verebileceği zarar yalnızca veritabanı ile sınırlı değildir. Sistem, veritabanı ve uygulama yetkilerine göre sistemi tamamen devre dışı bırakabileceği gibi aynı ağdaki internete açık olmayan kurumsal makinelerde ki bilgilere erişimden, o ağ kaynaklarını kullanarak başka yerlere saldırı yapmaya kadar uzanabilen bir yolu açmış demektir. Bu çalışmada, veritabanı ya da veritabanları üzerindeki bilgi güvenliğinin sağlanmasının nasıl yapılacağı ile ilgili alınması gereken tedbirlerden bahsedilmektedir. Bu tedbirler alınırken değişik uygulamalar üzerinde çalışılmıştır. Anahtar Kelimeler:sql injection, web uygulamasi güvenligi 1.GĐRĐŞ SQL ĐNJECTĐON SQL Injection web uygulamalarında ki en ciddi açıkların başında gelir. Özellikle frameworkler ve ORM (Object Relational Mapping) gibi ekstra veritabanı katmanlarının popülerleşmesi ile eskisine göre bugünlerde biraz daha az görülmektedir ama emin olun hala her yerdeler! SQL Injection veritabanından ve dilden bağımsız olarak her türlü uygulamaveritabanı ilişkisine sahip sistemde bulunabilir ve bu veritabanlarının bir açığı değildir. Bilginin güvenliği, bilginin önemi kadar önemlidir. Eğer veritabanında saklanan bilgilerin bizim için bir önemi yoksa bu konu o kadarda önem teşkil etmez. Ancak bizim üyelik sistemimiz varsa ve üyelerimiz varsa bu konu hem üyelerimiz hem de bizim için çok büyük bir önem taşımaktadır. 1

Üyelerimiz, sistemimize üye olduklarında genel anlamda şifre olarak, unutmayacakları ve ya kendileri için özel anlam ifade eden, kelime ve ya kelimeciklerden oluşan bir şifre oluşturacaklardır. Muhtemelen bu üyemizin birçok yerde ayni şifreyi kullandığı kaçınılmaz bir gerçektir. Bu bilginin kötü niyetli birinin eline geçmesi muhtemelen kötü sonuçlar doğuracaktır. Bu olaya sebebiyet vermek ve ya adımızı geçirmek, ilgili kurum ve ya kuruluşumuzu kötü etkileyecektir. Zarar gören kişinin, böyle bir olayı öğrenip zarardan dolayı dava açması sonucunda davayı kazanması muhtemeldir. SQL Injection dan korunmak doğal olarak web geliştiricisinin görevidir. Web uygulamalarında bir çok işlem için kullanıcıdan alınan veri ile dinamik SQL cümlecikleri oluşturulur. Mesela SELECT * FROM Products örnek SQL cümleciği basit şekilde veritabanından web uygulamasına tüm ürünleri döndürecektir. Bu SQL cümlecikleri oluşturulurken araya sıkıştırılan herhangi bir meta-karakter SQL Injection a neden olabilir. Meta-karakter bir program için özel anlamı olan karakterlere verilen isimdir. Örnek olarak C temelli C#, Javascript, PHP gibi dillerde (\) backslash karakteri bir metakarakterdir. Compiler (derleyici) ya da Interpreter (yorumlayıcı) bu karakteri görünce ondan sonraki karakteri ona göre işler. SQL için kritik metakarakter ( ) tek tırnak tır. Çünkü iki tek tırnağın arası string olarak algılanır. Diğer bir önemli meta-karakter ise (;) noktalı virgüldür, satırın bittiğini ve yeni satır başladığını bildirir. 2. TEORĐK ÇALIŞMA Şekil 1. ASP tabanlı bir web sayfasından bilgi isteme Veri tabanına sızmak isteyen kişi adres çubuğunda girilen ASP komutu "ara=kolye" ifadesini "ara=yüzük" olarak değiştirirse daha farklı bilgi internet tarayıcısına dönecektir. Adres çubuğuna girilen bilgi [http://localhost/sql/default.asp?ara=yüzük] şeklinde olacaktır. 2

Veri tabanında bulunan bilgilere ulaşmak isteyen kişi şartları değiştirerek adres çubuğuna [http://localhost/sql/default.asp?ara= yüzük AND tip= gümüş ] şeklinde bir bilgi yazarsa, SQL sunucusu bir hata mesajı döndürür. SQL komutuyla istenen bu "tip" değişken bilgisi veri tabanında olmadığından, SQL sunucu internet tarayıcısına hata mesajı döndürecektir. Bilgi sızdırmak isteyen kişi hata mesajı ile karşılaşacağını bildiğinden sonsuza kadar diğer değişken isimlerini deneme şansı olacaktır. Bilgi sızdırmak isteyen kişi, SQL komutuna şırınga ettiği, değişken isimlerini deneme yanılma metoduyla öğrenebilecektir. Bu tip saldırılardan korunmak için web yazılımcısının izleyeceği en basit yollardan biri integer sorgulamaları için isnumeric(sayı olup olamama durumu) kontrolü ve koşula sokulacak olan değişkenden replace komutu ile kötü meta karakterlerini temizlemek olacaktır. Bu kadar basit kontrollerin bile veri tabanında bulunan verilere ulaşılmasını önemli derecede engellediği görülecektir. 2.1.Bilgi Güvenliği Đnternet üzerinden veri paylaşımı arttıkça veri güvenliğinin sağlanması önemli bir olgu haline gelmiştir. Bilişim sistemlerini çökertmek, yavaşlatmak üzerine yapılan saldırılarla birlikte değerli olan bilgilerin çalınmasına yönelik saldırılar daha tehlikeli hale gelmiştir. Değerli olan bilgilere günümüzde örnek olarak kredi kartı ve banka hesapları verilebilir. Dış saldırılara karşı güvenlik duvarı (firewall), antivirus ve antispyware gibi çeşitli programlar, SSL (secure socket layer) benzeri şifreleme yöntemleri ve kullanıcı hakların kısıtlanması gibi yaptırımlar mevcuttur. Veri tabanından bilgi çalınmasına karşı yapılabilecek hazır yazılım tarzında çok fazla ürün bulunmaktadır. Tasarımlarına bağlı olarak güvenlik duvarları genelde iç bilgisayarlara her türlü hakkı verirken, SSL tarzında uygulamalar verinin şifrelenmesi ve başka kişiler tarafından okunmasını engellenmesi amacına yönelik olduğundan veri tabanlarına karşı yapılan saldırılara yaptırımları çok fazla değildir. Veri sorgulamasına ve girişine izin verilen herhangi bir kullanıcı sistemin içinde kabul edilir. Veritabanı uygulamalarında veritabanı genelde sunucu bilgisayar(server) üzerinde bulunmakta ve istemci bilgisayardan (client) veri girişi ve ya sorgulaması yapılmaktadır. Đnternete servis vermek üzere sunucu tabanlı uygulamalardan ASP(Active Server Page) ve PHP(Hypertext Preprocessor) en fazla bilinenleridir. ASP ve PHP tabanlı web programları, derlenmiş kendi başına çalışabilen (executable binary) dosya yaratmadan web üzerinde kullanım sağlarlar. ASP ve PHP sunucu tabanlı uygulamalarla beraber çalışan SQL veritabanları veri girişini ve sorgulamasını kolaylaştırır. SQL veritabanlarına MySQL, PostgreSQL, MSSQL ve Oracle örnek gösterilebilir. Microsoft Đnternet Explorer ve ya Netscape gibi herhangi bir tarayıcı (browser) aracılığıyla bu veritabanlarına veri girilebilir ve ya veri tabanlarından veri sorgulanabilir. 3

Veri girişinin ve sorgusunun hızlandırılması amacıyla sunucu tabanlı bilgisayarlarda PHP ve ASP gibi kolay hayata geçirilen uygulamalar bazı temel kurallara dikkat edilmezse veri tabanına karşı saldırılara açık vermektedir. Sunucu temelli SQL veri tabanları ile birlikte kullanılan PHP ve ASP uygulamaları programcılık hatalarından (bug) başka güvenlik sorunları vardır. ASP ve PHP temelli uygulamalarda veri tabanlarındaki değerli bilgilere izinsiz ulaşmaya olanak veren tasarım boşlukları bulunabilmektedir. Veri girişi ve sorgulaması için geliştirilen uygulamanın bir an evvel uygulamaya konulma isteği güvenlik açıklarını ortaya çıkarmaktadır. Veri tabanlarında ihtiyaç duyulan güvenliğinin sağlanması, kullanılacak uygulamanın tamamlanma süresini uzatmaktadır. Tasarım aşamasında uygulamada yapılan güvenli açıklıkları, uygulamanın kullanılması sırasında sorunlara yol açabilmektedir. Veri tabanlarındaki açıklar kredi kartı bilgileri gibi değerli bilgilerin veya adli sicil gibi kişisel bilgilerin çalınmasına neden olmaktadır. 3.TARTIŞMA SQL Şırınga Yöntemlerinde Korunmada Uyulması Gereken Bazı Kurallar Veritabanlarına yönelik güvenlik çözümleri veya uyulması gereken kurallar aşağıda listelenmiştir. 1. Veri girişi ve sorgulamasında kullanılacak uygulamasının Web Tarayıcısı (Web Browser örnek Microsoft Đnternet Explorer, Netscape ) üzerinden girilirken adres çubuğunun kaldırılması. Adres çubuğu internet tarayıcısından kaldırılarak bütün işlemlerin internet tarayıcısı üzerinden yapılmasının sağlanması, dışarıdan yapılacak müdahalelerin büyük bir kısmını engelleyecektir. 2. Veri tabanına bağlandıktan sonra SQL ifadelerine bağlı herhangi bir hata mesajının (error message) internet tarayıcısına veya uygulamaya yönlendirilmemesi. Hata mesajının internet tarayıcısına yönlendirilmemesi veritabanına sızmak isteyen kişilerin hangi konumda olduklarını öğrenmemelerini sağlayacaktır. 3. ComboBox ve ListBox lardaki veri tabanı ismi ile sunucu veri tabanı isminin aynı olmaması ve veri girişi yapılan yer adları ile veri tabanındaki değişken (variable) isimlerinin aynı olmaması. Đnternet tarayıcılarının tercihlerini bulunduran ComboBox ve ListbBox lar veritabanı ve değişkenlerle aynı isime sahip olursa veritabanına ulaşılması kolaylaşacaktır. 4. Veri tabanlarında veri girişinde ve sorgulanmasında çapraz veritabanları ve tabloların kullanılması. Veritabanından bilgi istendiğinde veya bilgi gönderildiğinde bir yerine bir kaç veri tabanı kullanılması ve bunlar arasında doğruluk karşılaştırılması yapılması güvenliği arttıracaktır. 5. Kullanıcı haklarının çapraz veri tabanları için ayrı ayrı tanımlanması. Kullanılacak birden fazla veritabanı için her aşamada kullanıcı haklarının ayrı ayrı tanımlanması gerekmektedir. Eğer bu işlem bir tek veritabanı üzerinden yürütülürse ve güvenliğin sağlandığı veritabanına sızılacak olursa bütün veritabanının güvenliği tehlikeye düşecektir. Eğer diğer veritabanlarında da güvenlik tedbirleri olursa sızma işlemi gerçekleştirilmeyecektir. Diğer veritabanlarında güvenlik sağlayacağından bir veritabanına sızmak bilgi sızdırmak için yeterli olmayacaktır. 6. Veri girişi yapan kişinin okuma (read access), yazma (write access) hakkının olması değiştirme hakkının süreli olması. 4

7. Veri girişi yapan kişilerin yalnızca kendi girdikleri verileri okuyabilmesi. 6 ve 7 başlıklar temelde analizlere yönelik istatistiksel veritabanları için geçerlidir. Daha önce girilmiş ve doğruluğu kabul edilmiş bilgilerin yanlışlıkla silinmesini engelleyecektir. Hatalı girişler için değiştirme hakkı süreli olduğundan daha sonra doğru kabul edilen bilgi üst makamlarca değiştirilebilecektir. 8. Veri girişi hakkı, okuma hakkı, değiştirme hakkı yalnızca bir yönetici (veya merkez) tarafından verilmesi ve hakların verileceği kişilerin önceden belirlenmesi. Bu yöneticinin veri tabanı güvenlik denetleme (auditing) işine dahil edilmemesi. Kullanıcıların hakları bir tek merkezden verilmeli ve verilen okuma, yazma, değiştirme hakları kayıt altına alınmalıdır. 9. Veri girişinde veri girenlerin kullandıkları SQL ifadelerinin (SQL statement) hepsinin ayrı ayrı seyir dosyasına (log file) yazılması. Veri tabanıyla yapılacak her türlü işlem sunucu tarafından kayıt edilmelidir. Bu sayede veritabanında meydana gelecek hata takip edilebilecektir.. 10. Tarayıcıdan gelebilecek SQL komutları uzunlukları yazılım tarafından kontrol edilmelidir. Veritabanına sızmak isteyen birisi SQL komutunu değiştirecektir. Đnternet üzeriden gelen SQL komut uzunlukları kontrol mekanizması altına alınacak olursa bir çok saldırgan devre dışı kalacaktır. 11. Güvenlik denetleyicilerin hatalı veri girişlerini, veri girişçisinin işi bittikten sonra veriyi kontrol etmesi. Đstatistiksel veri tabanlarında güvenlik denetçileri girilen veriyi kontrol ederek kullanıma hazır bir hale getirmeleri gerekmektedir. 12. Veri girişçi kendisine ait veri girişi parçasını bitirdikten sonra veri güvenlik denetçisinin yedekleme (backup) işlemi yapması. Sayısal ortama kaydedilen bilgileri güvenlik altında tutmanın en iyi yolu yedeklenmesi ve yedeğin yedeklenmesidir. 13. Đstatistiksel analiz için kullanılacak veritabanının, web uygulamalarından elde edilecek ve asıl olarak kullanılacak veri veritabanından izole edilmesi. Asıl verinin veri tabanına yönetici ve güvenlik denetçileri tarafından düzenlenmesi. 14. Asıl olarak kullanılacak veri tabanı üzerinde yönetici hariç hiç bir veri güvenlikçinin yazma ve silme hakkının olmaması, değiştirme hakkının ise aynı anda iki veya üç veri güvenlikçinin şifresi girildikten sonra veya veri güvenlikçisi ve yönetici şifresiyle elde edilebilmesi 4.SONUÇ Internet üzerinden geliştirilen uygulamalarda, veritabanları uygulamanın son noktasıdır. Bilgili ve deneyimli bir saldırgan eğer uygulama üzerinde bir boşluk bulursa veritabanındaki bilgilere ulaşmakta zorlanmayacaktır. Saldırgan elde edebileceği yetkilerle girişlerini standart kullanıcı gibi gösterecek ve saklanması kolaylaşacaktır. Veritabanlarını korumak için uygulanacak önlemler uygulamanın işleme konma vekullanıma açılama süresini ayrıca maliyeti arttıracaktır. Artan süre ve maliyete karşılıkeldeki değerli bilgilerin dışarı sızmasını engelleyecektir diğer bir deyişle güvenliğin derecesi artacaktır. 5

5.KAYNAKLAR [1] Erzengin Ö. U., Özdemir G., Veri Tabanlarını Bekleyen Tehlikeler: Şırınga Edilen Sql Đfadeleri. 24 Aralık 2005. [2] Achour, M., Betz, F., Dovgal, A., Hojtsy, G.(2005), PHP Manual. Erişim :[http://www.php.net/manual/en/]. Erişim :Tarihi: 13 Ağustos 2010. [3] Balıç Đ., ASP ile Veritabanı Güvenliği. Erişim :[http://www.olympos.net/belgeler/asp/asp-ile-veritabani-guvenligi-24155.html]. Erişim :Tarihi:14 Ağustos 2010. [4] Harper, Mitchell, SQL Injection Attacks - Are You Safe?. Erişim :[http://articles.sitepoint.com/article/sql-injection-attacks-safe]. Erişim :Tarihi:12 Temmuz 2010. [5] Mavituna F., Sql Đnjection a Giriş ve SQL Đnjection Nedir?. Erişim :[http://ferruh.mavituna.com/sql-injection-a-giris-ve-sql-injection-nedir-oku/ ]. Erişim :Tarihi: 1 Temmuz 2010. 6

2024 © DocPlayer.biz.tr Gizlilik Politikası | Hizmet koşulları | Geri bildirim