0
Kayıt Ol

Sql saldırı / savunma eğitimi önerisi olan?

8

139

  • 11-10-2020, 20:31:58
    #1
    celebiselli
    celebiselli
    Üyeliği durduruldu
    Amaç hack değil savunma
    Sql savunma, koruma v.s. alanında isteğim var ama nereden başlayacağımı bilmiyorum

    Sizce hangi dilleri bilmeli ve nereden başlamalı
    İngilizce şart mı, bildiğiniz eğitim seti var mı?
  • 11-10-2020, 20:34:39
    #2
    muraatydn
    muraatydn
    kodların içine mysql_realescapestring gibi bi kod ekliyorduk injectiona karşı
  • 11-10-2020, 20:35:21
    #3
    celebiselli
    celebiselli
    Üyeliği durduruldu
    muraatydn adlı üyeden alıntı: mesajı görüntüle
    kodların içine mysql_realescapestring gibi bi kod ekliyorduk injectiona karşı
    Peki sistemin açıklarını test etme amaçlı saldırı eğitimini nasıl alabiliriz?
  • 11-10-2020, 20:36:48
    #4
    coderadam
    coderadam
    Temel linux bilgisi ve biraz sunucu bilgisi. Gerçi biraz değil bayağı bilmek gerekir. Zor bir durum. İş SQL ile bitmiyor zaten.
  • 11-10-2020, 20:37:56
    #5
    muraatydn
    muraatydn
    celebiselli adlı üyeden alıntı: mesajı görüntüle
    Peki sistemin açıklarını test etme amaçlı saldırı eğitimini nasıl alabiliriz?
    ben profosyönel değilim ama ben de sql injection diye aradım sonra sql injection nasıl önlenir diye aradım karşıma bu çıktı tabiki daha iyi bilenler daha iyi cevaplar verecektir ama bi de şu videoyu izledim crf diye belki size yardımcı olur eklerseniz
    mysql_real_escape_string()

    https://www.youtube.com/watch?v=w25Y...st=WL&index=1&
    şu videoda başlangıç için yararlı

    https://youtu.be/qXwnFHAQ2X0
  • 11-10-2020, 20:43:42
    #6
    MuhammetDemirel
    MuhammetDemirel
    celebiselli adlı üyeden alıntı: mesajı görüntüle
    Amaç hack değil savunma
    Sql savunma, koruma v.s. alanında isteğim var ama nereden başlayacağımı bilmiyorum

    Sizce hangi dilleri bilmeli ve nereden başlamalı
    İngilizce şart mı, bildiğiniz eğitim seti var mı?
    Can değer aratın.

    Kali linux ya da parrot kurarak başlayabilirsiniz, daha sonra pentest araçlarını öğrenmeniz gerek.
  • 11-10-2020, 20:47:47
    #7
    digiklan
    digiklan
    SQL bir veritabanıdır. Ve açığı ypk denedek kadar nadirdir.
    Açık denilen şeyler genedle SQL input gönderen programlama dilindeki eksik filtrelemelerden kaynaklı yetkisiz kod çalıştırma üzerinedir.
    Yani SQL güvenlik dediğiniz şey aslında kullandığınız yazılım dilinin input güvenliği meselesidir.
    Çalışan program php ise gelen inputların filtrelenerek veritabanına ulaştırılması gerekir.
    PDO ve mysqli için hazır filtreleme sınıfları veya fonsiyonları var, ama daha oraya gelmeden bile gelen veri düzenli ifadeler ile kontrol edilmeli ve beklenen tipte değilse reddedilmelidir.
    Ayrıca remote file inclusion, code injection gibi başka php açıkları kullanılarak da SQL üzerinde yetkisiz kod çalıştırılabilinir.
    Bir SQL saldırısı için hem iyi derecede sql bilmeniz, hem de iyi derecede php, linux ve network bilmeniz gerekir.
    Yani hacker olmak için önce bir programcı kadar yazılım sonra da bir networkçü kadar ağ bilgisi sahibi olmanız lazım.
  • 11-10-2020, 21:08:59
    #8
    celebiselli
    celebiselli
    Üyeliği durduruldu
    digiklan adlı üyeden alıntı: mesajı görüntüle
    SQL bir veritabanıdır. Ve açığı ypk denedek kadar nadirdir.
    Açık denilen şeyler genedle SQL input gönderen programlama dilindeki eksik filtrelemelerden kaynaklı yetkisiz kod çalıştırma üzerinedir.
    Yani SQL güvenlik dediğiniz şey aslında kullandığınız yazılım dilinin input güvenliği meselesidir.
    Çalışan program php ise gelen inputların filtrelenerek veritabanına ulaştırılması gerekir.
    PDO ve mysqli için hazır filtreleme sınıfları veya fonsiyonları var, ama daha oraya gelmeden bile gelen veri düzenli ifadeler ile kontrol edilmeli ve beklenen tipte değilse reddedilmelidir.
    Ayrıca remote file inclusion, code injection gibi başka php açıkları kullanılarak da SQL üzerinde yetkisiz kod çalıştırılabilinir.
    Bir SQL saldırısı için hem iyi derecede sql bilmeniz, hem de iyi derecede php, linux ve network bilmeniz gerekir.
    Yani hacker olmak için önce bir programcı kadar yazılım sonra da bir networkçü kadar ağ bilgisi sahibi olmanız lazım.
    Çok sağolun hocam
    Peki öğrenme aşamaları nasıl olmalı
    Mesela şundan başla şöyle şöyle; final şöyle bir eğitim falan filan
  • 11-10-2020, 21:21:36
    #9
    digiklan
    digiklan
    celebiselli adlı üyeden alıntı: mesajı görüntüle
    Çok sağolun hocam
    Peki öğrenme aşamaları nasıl olmalı
    Mesela şundan başla şöyle şöyle; final şöyle bir eğitim falan filan
    Bir sunucu taraflı programlama dili seç ve öğrenmeye başla, yazılım geliştirmeye çalış. Geliştirdiğin byazılımları nasıl daha güvenli hale getireceğini araştırmaya başladığında nasıl saldırılar yapılabildiğini öğrenirsin sen de bu saldırıları yapabilecek kapasiteye ulaşırsın.
    Hacker olacağım diye hacker olunmaz ya da web güvenliği öğreneceğim diye web güvenliği öğrenilmez. Sen yazılım, veritabanı, network üzerine kendini geliştirirsin, bir gün sistemde oluşabilecek muhtemel zaafiyetleri hataları önceden tahmin etmeye ya da manipüle etmeye başlarsın.