SQL Injection
24 Temmuz 2010 yılında bulduğum daha önceki versiyonlarında mevcut olan sql injection açığı giderilmiş fakat bu sefer buffer overflow yöntemi ile sistem tekrar injection edilebiliyor.
Yazılımcılarına olan saygımdan ötürü açığın tam açıklamasını vermeyeceğim fakat çıktısı aşağıdaki gibi :
URL : http://shopphpv2.shopphp.net/demoshop-gamer-????????? (Silindi)
You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '' at line 1 Query :select name from kategori where ID=
Google Hack DB aracı yaklaşık 8,000 girdi içeren bir veritabanı aracıdır. Web sitesi sahiplerinin kendi sitelerindeki açıkları Google'da kayıtlı verilere göre kontrol edebilmesini sağlar.
Bu araç ile websitenizin zayıflıklarının google indeksinde olup olmadığını kontrol edebilirsiniz.
Bu sayede google (ve potansiyel olarak başkaları) sizin siteniz hakkında neler biliyor görebilirsiniz.
7974 kayıt (4203 tanesi SQL Injection)
Özellikleri arasında:
Bir anonim mesaja göre web uygulama güvenliği firması Barracuda Networks'e yapılan bir saldırı sonrası firma ortaklarının ve çalışanlarının login bilgileri dahil çeşitli önemli bilgiler sızdırıldı.
MySQL.com sitesinin bir SQL injection saldırısına yenik düştüğü rapor edildi. İlk olarak Full Disclosure mesaj listesinde yayınlandı. Hacker'lar kullanıcı adı ve şifre hash'lerini pastebin.com'a koymuşlar.
not: Peter Bright'ın arstechnica.com'daki yazısından Türkçeye çevrilmiştir.
Güvenlik firması HBgary için utanç verici bir haftaydı. HBGary Federal CEO Aaron Barr bilgisayar korsanı grubu Anonymous üyelerinin maskelerini indirdiğini ve grubun eylemlerini koordine etmekten ve MasterCard, Visa ve WikiLeaks'in düşmanlığını kazanan diğer yerlere servis-kullanımı-engelleme saldırıları yapmaktan sorumlu olanların isimlerini açıklamayı düşünüyordu.
Yazılım veritabanlarını gerçek zamanlı olarak izleyip SQL injection saldırılarını veya yetkisiz davranışları önlüyor.
Oracle pazartesi günü veritabanlarını gerçek zamanlı olarak izleyen, normal veritabanı davranışlarına zorlayan ve yetkisiz bilgi erişimi veya SQL injection saldırılarına karşı savunma yapan Oracle Database Firewall ürününü çıkardığını duyurdu.
Yeni tespit edilen bir SQL injection saldırısı çeşitli sitelerden kötü amaçlı kod toplayan görünmez bir iframe ile yaklaşık olarak 300,000 web sayfasını etkiledi.
Kötü amaçlı kod Adobe Flash, Internet Explorer ve bazı diğer uygulamaların güvenlik açığı bulunan sürümlerini tarıyor ve sonrasında online bankacılık bilgilerini çalma amaçlı programı sisteme kuruyor.
SQL Injection Verizon'un en sık rastlanan 15 güvenlik saldırısı listesinde 3. sıradaydı. SQL enjeksiyon saldırılarına alınan önlemler veri güvenliği veya haber sitelerinde manşet olma ile sonuçlanabilir. Bu yazıda veritabanı ve uygulamalarınızı korumada işinize yarayacak bir kaç tavsiye vereceğim.
6 aralıkta bir araştırmacı SQL enjeksiyon ile bazı NASA web sitelerine sızdığının kanıtlarını yayınladı. NASA için tek iyi yanı, amacın sadece sitelerin zayıflığını göstermek olması.
Symantec'in web sitesinin Blind SQL injection açığından etkilendiği ve önemli bilgilerin sızdığı rapor edildi.
Romen hacker Unu hazır bazı araçlar ile (Pangolin ve sqlmap) Symantec japonya websitesi arkasındaki veritabanına giriş yapabildi. Symantec dükkanında kriptolanmamış düz yazı şifreler, müşteri kayıtları ve ürün anahtarları ile birlikte görülebilmiş.
Son yorumlar
10 hafta 5 saat önce
19 hafta 55 dk önce
19 hafta 57 dk önce
21 hafta 2 gün önce
21 hafta 2 gün önce
22 hafta 4 gün önce
28 hafta 4 gün önce
36 hafta 5 gün önce
39 hafta 3 gün önce
39 hafta 3 gün önce