Kiber Howpsuzlyk gündeligi, Gün 1: SQL Injection näme zat?
SQL Injection, website-lara edilýän kiberhüjümiň bir görnüşidir. Hüjümçi maglumatlar bazasyndaky zyýanly SQL talaplaryny ýerine ýetirmek üçin web sahypasynyň giriş meýdanlaryna (giriş formalary(login page) ýa-da gözleg gutulary ýaly) ýazanda ýüze çykýar.
Salam hemma, men Ahmet. Özüm kiçiligimden bäri programming bilen gyzyklanýan. Soňky wagtlar hem özümiň öňden bäri okamak isleýän temasy Cyber Security-ny(Has hem Hacking gyzykly) okamaga başladym. Öwrenýän zatlarymy hem sizler bilen paýlaşmak isledim. Hem özümiň täzeden gaýtaladygy bolar, hemem size kiçirak bir maglumat we motiwasiýa bolar diýp umyt etyan.
SQL injection-yň näme zatdygyny düşünmek üçin ilki SQL-iň näme zatdygyna seredeliň.
SQL (Structured Query Language) maglumat bazalaryny dolandyrmak üçin ulanylýan programmirleme dilidir. Ulanyjylara maglumatlary salmak, täzelemek, pozmak we almak ýaly amallary ýerine ýetirmäge mümkinçilik berýär. Bu programa dili bilen siz ähli informasiýalaryňyzy jemläp bilýäňiz.
SQL injection näme?
SQL Injection, website-lara edilýän kiberhüjümiň bir görnüşidir. Hüjümçi maglumatlar bazasyndaky zyýanly SQL talaplaryny ýerine ýetirmek üçin web sahypasynyň giriş meýdanlaryna (giriş formalary(login page) ýa-da gözleg gutulary ýaly) ýazanda ýüze çykýar. Bu hüjümçä maglumat bazasynda saklanýan maglumatlary çykarmaga, üýtgetmäge ýa-da pozmaga mümkinçilik berýär. Mysal üçin, ulanyjylary login etmek üçin aşakdaky SQL koduna serediň:
Siz web sahypada adyňyz we parolyňyz bilen login düwmesine basanyňyzda, web sahypa aşakdaky ýaly kod bilen SQL-a ýüzlenýär we eger siziň informasiýaňyz maglumat bazasynda (database-da) bolsa, sizi başga sahypa gönükdirýär.
SELECT * FROM users WHERE username = 'admin' AND password = 'password123';
Eger hüjümçi parol meýdanyna 'OR' 1 '=' 1 girse, talap:
SELECT * FROM users WHERE username = 'admin' AND password = '' OR '1'='1';
'1' = '1' elmydama dogry bolansoň, maglumatlar bazasy ähli ulanyjylaryň informasiýalaryny çykaryp berýär.
SQL injection-yň görnüşleri:
- In-band SQL Injection
- Blind SQL Injection
- Out-of-band SQL Injection
SQL injection-yň öňüni almak:
SQL injection-y öňüni almagyň iň gowy usuly, haçan-da ulanyjy bir informasiýa girse, girilen informasiýany barlap we diňe tekst formatynda kabul eder ýaly etmekdir. Mundan başga-da, web sahypalara firewall goýmak hem SQL injection-dan gorar.
Gysgaça jemlanimde, SQL injection biziň web sahypalarymyza erbet şikes ýetirip biljek bir problemadyr. Emma soňky döredilýän web sahypalaryň köpüsinde bu atakalara goraglar döredildi.
