• 29-09-2018, 23:41:04
    #1
    Kimlik doğrulama veya yönetimden onay bekliyor.
    merhaba bir video sitem var, hazır sistem değil, özel yazılım.

    arama yapmak için bir kutu var, burada yapılan aramaları veritabanında kaydedip, tekrar aranırsa hızlıca geri getirebilmek için bir tabloda topluyorum.

    bugün tesadüfen burada bazı problemli aramalar yapıldığını gördüm.

    SQL injection denemiş olabilirler, fakat nedir nasıl yapılır bilmem.

    mesela arama kutusuna şunu aramış adam:

    (SELECT (CASE WHEN (7862=7862) THEN 7862 ELSE 7862*(SELECT 7862 FROM INFORMATION_SCHEMA.PLUGINS) END))

    ve diğer birkaç örnek:


    sitenin kodlarını yazalı çok oldu, nerde ne var hatırlamıyorum, ama güvenli olacak şekilde süzgeçten geçirip veri tabanına sorgu yollamışımdır (10 yıllık site)

    bu şekilde sql kodu yazarak arama kutusunu kullanan kişiler neye ulaşmaya çalışmıştır?
  • 29-09-2018, 23:42:01
    #2
    Blind SQL Injection denemiş olabilirler. Scriptinizde açık bulunup bulunmadığını kontrol edin/ettirin.
  • 29-09-2018, 23:50:47
    #3
    Yazılımınız eski ise küçümsenmeyecek derecede önemli bir açıktır. Zamanında güvenliği sağlamak amaçlı birçok web sayfasında SQL Injection yöntemini kullanarak admin bilgilerini öğreniyordum. Hey gidi günler
  • 29-09-2018, 23:56:39
    #4
    site adresini iletirseniz nereden girmeye çalıştıklarını kontrol edeyim
  • 01-10-2018, 03:05:47
    #5
    Keras adlı üyeden alıntı: mesajı görüntüle
    Blind SQL Injection denemiş olabilirler. Scriptinizde açık bulunup bulunmadığını kontrol edin/ettirin.
    M_D_5 adlı üyeden alıntı: mesajı görüntüle
    Yazılımınız eski ise küçümsenmeyecek derecede önemli bir açıktır. Zamanında güvenliği sağlamak amaçlı birçok web sayfasında SQL Injection yöntemini kullanarak admin bilgilerini öğreniyordum. Hey gidi günler
    TuruncuMedya adlı üyeden alıntı: mesajı görüntüle
    site adresini iletirseniz nereden girmeye çalıştıklarını kontrol edeyim
    canlar desteğiniz için teşekkür ederim.

    konuyu açtıktan sonra tekrar kontol ettim, arama kutusuna girilen metni özel karakterlerden arındırıp öyle kaydediyormuşum zaten, daha önce aynı sorgu yapıldıysa eski kayıtları okutuyorum. bu nedenle adam her seferinde kodda birkaç değişiklik yapmak zorunda kalmış amacına ulaşsaydı kodu değiştirip değiştirip tekrar denemek zorunda kalmazdı.