SQL Injection
Yeni tespit edilen bir SQL injection saldırısı çeşitli sitelerden kötü amaçlı kod toplayan görünmez bir iframe ile yaklaşık olarak 300,000 web sayfasını etkiledi.
Kötü amaçlı kod Adobe Flash, Internet Explorer ve bazı diğer uygulamaların güvenlik açığı bulunan sürümlerini tarıyor ve sonrasında online bankacılık bilgilerini çalma amaçlı programı sisteme kuruyor.
SQL Injection Verizon'un en sık rastlanan 15 güvenlik saldırısı listesinde 3. sıradaydı. SQL enjeksiyon saldırılarına alınan önlemler veri güvenliği veya haber sitelerinde manşet olma ile sonuçlanabilir. Bu yazıda veritabanı ve uygulamalarınızı korumada işinize yarayacak bir kaç tavsiye vereceğim.
6 aralıkta bir araştırmacı SQL enjeksiyon ile bazı NASA web sitelerine sızdığının kanıtlarını yayınladı. NASA için tek iyi yanı, amacın sadece sitelerin zayıflığını göstermek olması.
Symantec'in web sitesinin Blind SQL injection açığından etkilendiği ve önemli bilgilerin sızdığı rapor edildi.
Romen hacker Unu hazır bazı araçlar ile (Pangolin ve sqlmap) Symantec japonya websitesi arkasındaki veritabanına giriş yapabildi. Symantec dükkanında kriptolanmamış düz yazı şifreler, müşteri kayıtları ve ürün anahtarları ile birlikte görülebilmiş.
MODx yazılımında kötü amaçlı kişilerin SQL enjeksiyon saldırıları gerçekleştirebilmelerine izin veren bir güvenlik açığı olduğu rapor edildi.
index.php dosyasında searchid parametresine girilen veriler (submitok boş olmayan bir değere set edilmiş ise) SQL sorgularında kullanılmadan önce doğru olarak filtrelenmiyor. Bu açıktan yararlanarak SQL sorguları değiştirilerek istenilen SQL kodları çalıştırılabilir.
Joomla! içerik yöneticisi için PHP-tabanlı bir bileşen olan Ice Gallery kullanıcı tarafından girilen verileri doğru olarak filtrelemediği için SQL Enjeksiyon saldırılarından etkileniyor.
Problem com_ice komponentine gönderilen catid parametresinde.
Ice Gallery 0.5 beta 2 sürümünün etkilendiği rapor edildi.
Kaynak: http://www.securityfocus.com/bid/33008
webClassifieds yazılımında kötü amaçlı kişilerin SQL enjeksiyon saldırıları yapabilmelerine izin veren bir açık olduğu rapor edildi. index.php de password parametresine geçirilen kullanıcı girdileri (page=sign_in olduğunda) sql sorgusunda kullanılmadan önce doğru olarak filtrelenmiyor. Bundan yararlanılarak SQL sorgularında değişiklik yapılarak istenilen sql kodları çalıştırılabilir.
Çözüm: Kaynak kodunda değişiklik yaparak doğru filtreleme yapın.
StAkeR tarafından MySQL Calendar'da tespit edilen güvenlik açığı kötü amaçlı kişilerin SQL Injection saldırıları yapabilmelerine izin veriyor.
index.php ye gönderilen "username" parametresi içeriği (action=login olduğunda) SQL sorgularında kullanılmadan önce düzgün olarak filtrelenmiyor. Bu açıktan yararlanarak istenilen SQL kodlarını çalıştırmak mümkün olabiliyor.
Bu açığın 1.2 sürümünde olduğu doğrulandı ama diğer sürümler de etkileniyor olabilir.
ZoRLu tarafından tespit edilen XSS ve SQL Injection açıkları, full_txt.php dosyasında id parametresine geçirilen verilerin SQL sorgularında kullanılmadan önce doğru olarak filtrelenmemesinden kaynaklanıyor. Bu açıklardan yararlanarak kullanıcının browser oturumunda istenilen HTML ve script kodu çalıştırmak veya istenilen SQL kodlarını SQL sorgularına eklemek mümkün olabiliyor.
Açığın 1.5 sürümünde olduğu rapor edilmiş. Diğer sürümlerde etkileniyor olabilir.
Çözüm:
Son yorumlar
3 hafta 4 gün önce
4 hafta 3 gün önce
7 hafta 3 gün önce
8 hafta 22 saat önce
8 hafta 3 gün önce
27 hafta 1 gün önce
32 hafta 6 gün önce
34 hafta 2 gün önce
36 hafta 4 gün önce
36 hafta 4 gün önce