ฝัง
- เผยแพร่เมื่อ 7 ก.พ. 2025
- Merhaba , bu videoda web uygulama güvenliği testleri ve sızma testlerinin önemli bir parçası olan SQL enjeksiyonu (SQLi) saldırıları üzerinde derinlemesine bir inceleme yaptık. Etik hackerlık kursumuzun bu bölümünde, SQL komutları kullanarak, Metasploitable üzerinde yer alan Mutillidae uygulamasındaki SQL açıklarını keşfedeceğiz.
SQL enjeksiyonu, bir web uygulamasındaki güvenlik açığını kullanarak kötü niyetli SQL komutlarıyla veritabanına sızmaya çalışmanın bir yöntemidir. Bu tür açıklar, web sitenizin veri tabanını yanlış yönlendirerek, verileri görüntülemeyi, değiştirmeyi veya silmeyi mümkün kılabilir. SQL enjeksiyonunu anlamak ve bu tür açıkları tespit etmek, bir web uygulamasının güvenliğini sağlamak için kritik öneme sahiptir.
SQL Nedir?
SQL (Structured Query Language), veritabanlarını yönetmek ve sorgulamak için kullanılan standart bir programlama dilidir. Web uygulamaları çoğunlukla verileri depolamak ve işlemek için SQL veritabanlarını kullanır. SQL komutları, veritabanı üzerinde sorgular çalıştırarak bilgi çekme, ekleme, silme veya güncelleme işlemleri yapar.
SQL Açığı Nedir?
SQL açığı, web uygulamasının veritabanına doğrudan kullanıcı girdisi alırken güvenlik önlemlerinin yetersiz olması durumunda oluşur. Bu tür açıklardan yararlanan saldırganlar, kötü niyetli SQL komutlarını uygulama yoluyla veritabanındaki verilere izinsiz erişim sağlayabilirler. Örneğin, "1=1" gibi basit manipülasyonlar, SQL sorgularını değiştirebilir ve saldırganın uygulama üzerindeki kontrolünü arttırabilir.
SQL Enjeksiyonu Nasıl Yapılır?
SQL enjeksiyonu, kullanıcıdan alınan verilerin doğrudan SQL sorgularına dahil edilmesi sırasında ortaya çıkar. Bu videoda, Metasploitable üzerinde bulunan Mutillidae uygulamasında çeşitli SQL enjeksiyonu tekniklerini uygulayarak, veritabanındaki güvenlik açıklarını keşfedeceğiz. Bu süreçte, 1=1 manipülasyonları gibi basit SQL sorgusu manipülasyonlarıyla web uygulamalarının nasıl zayıflıklar barındırdığını gözlemleyeceğiz.
SQL enjeksiyon saldırıları, yalnızca verilerin çalınmasıyla sınırlı kalmaz; aynı zamanda veri manipülasyonu, kimlik doğrulama bypass (geçiş) işlemleri, yetkisiz veri silme ve veritabanı üzerinde tam kontrol sağlama gibi risklere de yol açabilir. Bu nedenle, web uygulamalarının her aşamasında SQL enjeksiyonuna karşı savunmasız olup olmadığını test etmek çok önemlidir.
Web Güvenliği ve SQLi Savunması
Web uygulamalarında SQL enjeksiyonuna karşı alınabilecek önlemler:
Hazırlıklı ifadeler (prepared statements) kullanmak
Girdi doğrulama (input validation) yapmak
Yapılandırılmış hata mesajları (detailed error messages) yerine genel hata mesajları kullanmak
Veritabanı erişim izinlerini kısıtlamak
Veritabanı sorguları üzerinde minimum yetkileri sağlamak
Bu video, web uygulamanızın güvenliğini artırmak ve potansiyel SQL enjeksiyon açıklarını tespit etmek isteyen etik hackerlar, sızma test uzmanları ve siber güvenlik meraklıları için oldukça faydalı olacaktır.
Yasal Çerçeve ve Etik Uyarı
Unutmayın, bu tür güvenlik testlerini yalnızca izinli ve yasal bir şekilde gerçekleştirmelisiniz. Eğitim ve testler yalnızca kendi web sitelerinizde veya test ortamlarında yapılmalıdır. Web siteleri veya uygulamalar üzerinde yetkisiz herhangi bir test yapmak yasalara aykırıdır ve ciddi hukuki sonuçlar doğurabilir. Etik hackerlık ilkelerine sadık kalarak yalnızca izinli, yasal çerçeveler içinde çalışmak son derece önemlidir.
Eğer web uygulamalarınızın güvenliği ile ilgili daha fazla bilgi edinmek ve bu alandaki yetkinliğinizi artırmak istiyorsanız, videolarımızı takip etmeye devam edin!
🔔 Abone olmayı ve bildirimleri açmayı unutmayın!
#EtikHacker #SQLEnjeksiyonu #SızmaTesti #WebGüvenliği #Metasploitable #Mutillidae #SiberGüvenlik #EtikHackerlık #SQLInjection #HackerEğitimi - วิทยาศาสตร์และเทคโนโลยี
Super anlattin reis eline ağzına sağlık senin sayende daha detayli sekilde öğreniyorum lütfen bu sekilde devam et eğitimlere birakma
cok guzel anlatin bence en iyi anlatan sensin ve devamini istiyoruz
Geldi kral❤
kral sen video atmayınca paket oldun sandım bi an
yapma böyle şeyler seviliyorsun :)
eline sağlık
hocam aynı matematikteki ve veya operatörü gibi mantıksal 👍👍👍👍🇹🇷
Teşekkürler... Ağzına sağlık.
elinize saglik hocam
hocam kali linuxukapatırken kaydedipmi kapadıyoruz yoksa direk güçükapa mı diyoruz bide bunları yaparken vpnbooku açalımmı
Termux ile web site kopyalayabilir miyiz?
çok iyi anlatmışsın reis eline sağlık galiba burda anlattığın şey yüzünden galiba bazı siteler şifre koydururken bazı özel harflere ve boşluklara izin vermiyor doğrumuyum bu tarz birşey yapamayalım diye
@@destiny_sn4510 aslında iki kesme işareti arasındaki değerden sonrasını zaten karakter olarak algılamiyor yani boşluk sonrasında and ve or yazmamız bir problem çıkarmaz
Teşekkürler.
hocam benım tarayıcıda metasiptable acılmıyor sebebi ne olabılır
@@Erol_Avci ip sini doğru girdiğinizden emin misiniz. nmap 10.0.2.1/24 -sn çalıştırıp karşınıza çıkan ip adreslerini tarayıcı da açmayı deneyin. İki makineninde aynı nat ağında olduğundan emin olun
hocam senin girişlerde Atıl Samancıoglu vibe alıyorum
Hahaha arkadaşlar merhaba dan sanırım
arkadaşlar bir sorum olucak meraktan soruyorum bahis sitesi hacklemek mümkün mü
zor
Hocam bi sorun yaşıyorum size mail attım yardımcı olma şansınız varmı
@@ahmetsonmez2718 lütfen topluluk kısmındaki bağlantı ile telegram grubuna gelin
TELEGRAM KANALI NERDE?
@@forumcu54_12 topluluk kisminda
abi metasploitbleni nerden indirdin?lutfen yaz
@@yusuf-s4e5i source forge
tamam hocam cozdum natagından cıkmıstım onu duzelttım
@@Erol_Avci eline sağlık iyi calismalar
@HexaLockSecurity teşekkürler hocam sizi keşfettiğim için çok mutluyum sayenizde bilgi sahibi olmaktayiz.hayirli geceleriniz ve hayırlı cumalariniz olsun inşallah
abi adansin