Category: SQL Injection
Yeni tespit edilen bir SQL injection saldırısı çeşitli sitelerden kötü amaçlı kod toplayan görünmez bir iframe ile yaklaşık olarak 300,000 web sayfasını etkiledi.
Kötü amaçlı kod Adobe Flash, Internet Explorer ve bazı diğer uygulamaların güvenlik açığı bulunan sürümlerini tarıyor ve sonrasında online bankacılık bilgilerini çalma amaçlı programı sisteme kuruyor.
SQL Injection Verizon'un en sık rastlanan 15 güvenlik saldırısı listesinde 3. sıradaydı. SQL enjeksiyon saldırılarına alınan önlemler veri güvenliği veya haber sitelerinde manşet olma ile sonuçlanabilir. Bu yazıda veritabanı ve uygulamalarınızı korumada işinize yarayacak bir kaç tavsiye vereceğim.
6 aralıkta bir araştırmacı SQL enjeksiyon ile bazı NASA web sitelerine sızdığının kanıtlarını yayınladı. NASA için tek iyi yanı, amacın sadece sitelerin zayıflığını göstermek olması.
Symantec'in web sitesinin Blind SQL injection açığından etkilendiği ve önemli bilgilerin sızdığı rapor edildi.
Romen hacker Unu hazır bazı araçlar ile (Pangolin ve sqlmap) Symantec japonya websitesi arkasındaki veritabanına giriş yapabildi. Symantec dükkanında kriptolanmamış düz yazı şifreler, müşteri kayıtları ve ürün anahtarları ile birlikte görülebilmiş.
MODx yazılımında kötü amaçlı kişilerin SQL enjeksiyon saldırıları gerçekleştirebilmelerine izin veren bir güvenlik açığı olduğu rapor edildi.
index.php dosyasında searchid parametresine girilen veriler (submitok boş olmayan bir değere set edilmiş ise) SQL sorgularında kullanılmadan önce doğru olarak filtrelenmiyor. Bu açıktan yararlanarak SQL sorguları değiştirilerek istenilen SQL kodları çalıştırılabilir.
Joomla! içerik yöneticisi için PHP-tabanlı bir bileşen olan Ice Gallery kullanıcı tarafından girilen verileri doğru olarak filtrelemediği için SQL Enjeksiyon saldırılarından etkileniyor.
Problem com_ice komponentine gönderilen catid parametresinde.
Ice Gallery 0.5 beta 2 sürümünün etkilendiği rapor edildi.
Kaynak: http://www.securityfocus.com/bid/33008
webClassifieds yazılımında kötü amaçlı kişilerin SQL enjeksiyon saldırıları yapabilmelerine izin veren bir açık olduğu rapor edildi. index.php de password parametresine geçirilen kullanıcı girdileri (page=sign_in olduğunda) sql sorgusunda kullanılmadan önce doğru olarak filtrelenmiyor. Bundan yararlanılarak SQL sorgularında değişiklik yapılarak istenilen sql kodları çalıştırılabilir.
Çözüm: Kaynak kodunda değişiklik yaparak doğru filtreleme yapın.
StAkeR tarafından MySQL Calendar'da tespit edilen güvenlik açığı kötü amaçlı kişilerin SQL Injection saldırıları yapabilmelerine izin veriyor.
index.php ye gönderilen "username" parametresi içeriği (action=login olduğunda) SQL sorgularında kullanılmadan önce düzgün olarak filtrelenmiyor. Bu açıktan yararlanarak istenilen SQL kodlarını çalıştırmak mümkün olabiliyor.
Bu açığın 1.2 sürümünde olduğu doğrulandı ama diğer sürümler de etkileniyor olabilir.
ZoRLu tarafından tespit edilen XSS ve SQL Injection açıkları, full_txt.php dosyasında id parametresine geçirilen verilerin SQL sorgularında kullanılmadan önce doğru olarak filtrelenmemesinden kaynaklanıyor. Bu açıklardan yararlanarak kullanıcının browser oturumunda istenilen HTML ve script kodu çalıştırmak veya istenilen SQL kodlarını SQL sorgularına eklemek mümkün olabiliyor.
Açığın 1.5 sürümünde olduğu rapor edilmiş. Diğer sürümlerde etkileniyor olabilir.
Çözüm:
web tabanlı içerik yönetimi sistemi (CMS) myPHPNuke yazılımında çeşitli giriş kontrol problemleri tespit edildi.
Saldırganlar SQL Injection açığından yararlanarak verilere erişebilir veya değiştirebilir veya veritabanı sunucusunda komutlar çalıştırabilirler.
1.8.8_8rc2 öncesi sürümlerin etkilendiği rapor edilmiş. Açıkları kapatmak için en son sürüme güncellemek gerekiyor.
Kaynak: http://www.securityfocus.com/bid/30942
Son yorumlar
8 hafta 4 gün önce
9 hafta 6 gün önce
12 hafta 1 gün önce
12 hafta 1 gün önce
15 hafta 11 saat önce
15 hafta 16 saat önce
17 hafta 6 gün önce
19 hafta 3 saat önce
20 hafta 6 gün önce
20 hafta 6 gün önce