SQL Injection Dersleri

Evet.. Yazmayayım yazmayayım dedim ama gene parmaklarıma hakim olamadım.. Tam olarak dogru kelimeyi secip secmedigimden emin degilim fakat, bu tür yorum yapan insanlara "illet" oluyorum.. Cünkü yorumun amacı belli degil.. Yardım etmek isteyen, "çorbada benimde tuzum bulunsun" amacında bir yorum olarak algıladıgımızı düşünürsek, yazılarda ki uslup buna ters düşüyor.. Ve gercekten ters giden bir durumun veya hareketin farkındaysanız, buna burda insanların arasında hava atma gösterisi olarak başvuracagınıza, Ferruh Bey'in mail adresine yazabilirdiniz.. Ha amaç yardım etmek değil, sadece hava atmaksa eger, Ozaman egonuzu tatmin etme gorevimizi yerine getirip" Vaaay.. Zuriye arkadaşımız cok şey biliyooorr, Supersin gercekteeennn" cumleleriyle size destek olabiliriz.. Herneyse.. Saygılar..

Selam,
Dediğim gibi kimseye birşey kanıtlamak yada başka birşey için yazmadım eğer birşey öğretilmeye çalışılanıyorsa tamamen doğru ve düzgün olarak anlatılması daha mantıklıdır diye yazdım ancak alper arkadaşımız gibi mesajımı direk negatif olarak okursanız bu hataya düşersiniz.
Ben sizin mesajınızdaki tek bir cümleden dolayı böyle bir mesaj yazdım onuda mesajınızı çok güzel okursanız kendiniz görürsünüz.
Halen yanlışınız var; Eğer interpreter kodu compile ederken içinde eval ve benzeri zararlı kodlar varsa buna Code Inclusion denmez , zaten Inclusion dahil etmek demektir burada biz include yada require gibi fonksiyonlardan bahsediyoruz ancak eval gibi yada bir passthru gibi (PHP için) fonksiyonlarda code/command execute ediyorsak buna Code Injection denir.İlgili makaleler SANS,CVE gibi kurumlardan alınabilir bu tür yanlışlar FrIRST gibi OSVDB gibi kurumlar tarafından yapıldı CVE direk olarak bu hataların başka kurumlarca böyle sanıldığını aksine olayın Eval Injection/Code Injection olduğu belirtmiştir.Dediniz bu tip açıklar "remote code execution" diye "remote code inclusion" işte yanılgı buradadır :).Bunun yöntemleri cidden oldukça fazladır local file inclusiondan apache loglarına veya sisteme upload izni varsa malformed picture dediğimiz zararlı kodlara sahip resimler veya daha değişik dosya uzantılarıyla lfi yapılabilir.Lütfen bu tür konular karışmasın ben kimsenin hatasını bulmaya çalışmıyorum.
UNION için benim için oldukça büyük bir olay demişsiniz. MySQL 3.23 ve alt sürümlerde UNION desteği yoktur daha değişik subquerylerle veri çalma yapılabilir ki bu bütün sürümlerde vardır. UNION direk olarak birleşik kelimesinden aklıma gelmelidir ve önündeki sorgudaki hedefler kadar hedef olmalıdır ki bu SELECT sorgusu ise MSSQL ve Access dışındaki sistemlerde UNION sadece select sorgularda kullanılabilir ancak bu iki üründede UPDATE INSERT gibi fonksiyonlardada kullanılabilir. UNION bu kadar büyütmeye gerek yok sonuçta hedef eldekilerle yapılacaktır ;).
Dediğim gibi ben kimsenin yanlışını yüzüne vurmaya çalışmıyorum.Bende ITSec. sektöründe çalışıyorum herkesin bilinçlenmesini istiyorum kendiminde bir çok çalışması oldu ancak Türk insanı her zaman en iyi ben bilirim en iyi ben anlarım dediği için çok kaybediyor bende bu çalışmalarımı bitirdim.Sizede yardımcı olmaya çalıştım dediğim gibi yabancı terimlerle anlatılacaksa ve yabancıların standartlarıyla terimler hassas olmak zorundadır.
Umarım programcı arkadaşlarımız dediğim gibi ingilizcelerini ilerletir c/p programcılığını bırakır ve kendi yöntemlerini geliştirir.
Unutmayın bu tür hatalar hep eksik ve yanlış kodlamanın ürünüdür ve emin olun açıkları bulan pen-test yapan insanlar sizden çok daha iyi programlama biliyorlar ben size hazır bulunan açıklarla saldırı yapan skiddielerden bahsetmiyorum.Ha sizi takdir ediyorum XSS gibi bir olayı sadece cookie çalmak zanneden ve önemseyen insanların olduğu bir ülkede XSSShell denilen olayı tanıtmanız gelişmesini sağlamanız çok güzel çünkü XSS saldırılarıyla bugün virüsler bile yayılmaktadır..
Neyse yanlış anlaşılmaktan çok bıktım umarım anlatmak istediğim anlaşılmıştır.
İyi günler,
Zuriye Variş

Eval ile passthru yu ayni yere koymakta yanlis cunku ayni sey degil. Madem ITsec te calisiyorsunuz o zaman bir cok acik icin 20 terim oldugunu da bilirsiniz ve bunun bir standardi olmadigini bilirsiniz (henuz). Ancak yapilmaya calisildigini da. Bugun XSS e bile 3. level remote file inclusion diyenler var. O zaman bana CSRF nedir Session Riding kullansana da demeniz gerekiyor.

Dolayisiyla terim muhabbeti yapmaya erek yok, burada yapilacak en sacma hareketlerden biri olur.

Gene de yukaridaki mesaja bakinca haklisiniz remote code execution daha genel bir terim.

UNION için benim için oldukça büyük bir olay demişsiniz. MySQL 3.23 ve alt sürümlerde UNION desteği yoktur daha değişik subquerylerle veri çalma yapılabilir ki bu bütün sürümlerde vardır. UNION direk olarak birleşik kelimesinden aklıma gelmelidir ve önündeki sorgudaki hedefler kadar hedef olmalıdır ki bu SELECT sorgusu ise MSSQL ve Access dışındaki sistemlerde UNION sadece select sorgularda kullanılabilir ancak bu iki üründede UPDATE INSERT gibi fonksiyonlardada kullanılabilir. UNION bu kadar büyütmeye gerek yok sonuçta hedef eldekilerle yapılacaktır ;).

Ben bu muhabbeti anladim ama neyse, Anlamadigim su kimse size bunun aksini soylemedi ki, kimse UNION MySQL in eski versiyonlarinda var demedi ya da X yerde Z kullanilamaz demedi. ve dedigim gibi UNION size o kadardir bana bu kadar simdi burada yaw neden UNION ile ilgili bolum yaziyorsun deger mi demenin mantalistesi nedir? Var ki diyecek bir seylerim yaziyorum.

Umarım programcı arkadaşlarımız dediğim gibi ingilizcelerini ilerletir c/p programcılığını bırakır ve kendi yöntemlerini geliştirir.

Bende dahil olmak uzere bir cok insan burada kendini gelistirmek icin duruyor ama siz bunu gercekten umuyor sekilde katkida bulunmuyorsunuz :)

Unutmayın bu tür hatalar hep eksik ve yanlış kodlamanın ürünüdür ve emin olun açıkları bulan pen-test yapan insanlar sizden çok daha iyi programlama biliyorlar ben size hazır bulunan açıklarla saldırı yapan skiddielerden bahsetmiyorum.

Burada da kimden nasil ve neden bahsettiginizi anlamadim.

Anlatmak istediginiz zaten basit diyorsunuz ki burada terim hatasi var yapmayalim, bende diyorum ki terim hatasi bu sektorun heryeri hatta guvenlik sektorunun heryeri. Bakiniz ilk SQL Injection in dokumante edildigi makaleye, acigin adi SQL Injection degildir. Ama acik ayni acik bu onu az veya cok yapmiyor ya da baska bir sey. Ki donup bakinca fol yok yumurta yok daha demek ki yazinca neler olacak. Yazidaki teknik hatalar her zaman duzeltilmesini isteriz nitekim bu benim onu yanlis bildigime veya yazarken yanlis yazidigima isaret iki durumda da karli cikarim ama bu mesajlarin kendisinin samimi olmadigi zaten bariz.

Belli ki bu islerle ugrasiyorsunuz hatta sektorde calisiyormussunuz, ne guzel. Buyrun teknik olarak hatalarimizi bildirin, biz de duzeltelim seviniriz. Yazilari yayinlayinca da bekleriz ama bunlar teorik, terimsel ya da geyiksel olmasin lutfen, yoksa sadece geyik yapan ama faaliyet gostermeyen insanlar gibi gozukuruz.

XSSShell konusunda tesekkur ederim.

Olayi toplarsam, yanlis anlasilmanizin nedeni basit sekilde uslubunuzdur cunku bu dostca degil dusmanca bir uslup her ne kadar bu sekilde bir dil ile yazilmasa da yukaridaki arkadasin dedigi bu bariz. Bu Turkiye de her zaman olur, ama maalesef hala alisamadim. Cehennemdeki zebani-kuyu fikrasini herkes bilir. Dolayisiyla detaylara takilmayip ana konu hakkinda bir seyler diyecekseniz seviniriz yoksa su an yardimci olmuyorsunuz hatta yardimci veya samimi olma kavramindan cok uzaklardasinizn.

Veya bakin ben bir sey yaptim, anlattim derseniz buyrun ona bizi yonlendirin biz de o kaynaklari kullanalim.

@Zuriye Hanım/Bey belli ki bir şeyler biliyorsunuz :) Ama ne söylediğimiz kadar nasıl söylediğimiz de önemli sanırım. Biz sizin kadar ingilizce, programcılık vs. okumadık ama biraz Şeyh Galip bilirliğimiz vardır ve üstad der ki:

Zannetme ki şöyle böyle bir söz
Gel sen dahi söyle böyle bir söz.

çince fransızce portekizce türkçe ve rusçeda öğrenmeniz gerekiyor iyi çalışmalar kolay gelsin arkadaşlar

Zebani - Kuyu fıkrası hayat bulmuş burada gerçekten hayretler içerisindeyim, Bir Türk kuyudan çıkmaya çalışırken diğeri aşağı çekiyor evet bizim kuyumuzun başında hiç bekçi yok. Sizi yazmaktan soğutmuşlar sanırım sizde başkaları yazmasın fikrindesiniz.

Gelip burada şov yapmanızın bildiklerinizi veya saçma sapan anlamdaş terimlerin diğer çeşidinide bildiğinizi ispatlamanın manası tek kelimeyle birşey yarıştırmaktır.

İngilizce bildiğinizi insanların inglizce öğrenmelerini istemenizden, copy paste yapmadığınızı insanların c/p yapmamaları gerektiğini söylemenizden, güvenlik bilginiz olmasını anlamdaş kelimeleri kullanmanızdan, ve ruhsal bir probleminiz olduğunu buraya saldırgan bir şekilde yazı yazmanızdan gayet net bir şekilde anlıyoruz.

Bu Varol arkadaşıma kanım ısındı birden :) Bir de para mevzusunu kapatsa :))

Ben tartışmalar hakkında yorum yapmayacağımda, şimdi burdaki terimlerin çoğuna uzak olduğumu anladım.

Tek söyleyeceğim; emeğe saygı gösterelim, bir şey yapılmaya çalışılıyorsa destek olalım ama adabıyla..

Anlatılmaya çalışılan tüm konularda kendimi geliştirmek istiyorum ve yazılarını merakla bekliyorum ferruh.

Saldırgan tavırlarıyla boy gösteren arkadaşımızdanda bekliyorum :))

Selamlar,

Bu konu bence internet uzerinde en cok onem gosterilmesi gereken konu, ve o yuzden de bu konuyla ilgili ne yazar cizerseniz farketmez, hepsi kabulum. Yeter ki ayrintili ve kaliteli kaynak olsun. Zaten bu sitedeki her makale gibi cok guzel olacaklarini biliyorum. Insallah en kisa zamanda makaleleri sitenizde gorup okuma sansimiz olur da biz de kendi bilgisizligimizi ve aciklarimizi giderebiliriz.

Tesekkurler...

Gerçekten oldukça güzel bir dökümantasyon projesi olur, merakla bekliyoruz yazılanları..

tebrik ederim zuriye kardiş,,
ne kadar çok şey biliyosun böyle =)

-------

mavituna bey çevremdeki herkes sizden çok iyi bahsediyor ve genelde giriyorum,, sizinle tanışmak isterim,, bilgi sahibi olmak erdemdir ve bunu açıklamak ise başka bir üstünlüktür..

İnsanlara bişeyler anlatmak çok zordur ama en kolay yolu ve en güzel yolu kullanarak anlatmışsınız =) Teşekkür ederm..

bu züriye denen arkadaş kendisi birşeyler biliyor veya öyle görünüyor bu işler terimle falan olmaz icraat gerekir , fakat herkesin birşeyler öğreneceği bir makalenin yazarını eleştirerek projenin aksamasını istiyor galiba neden acaba(!) .. yazısının artniyetsiz yazılmış bir eleştiri olmadığı apaçık . ama bu tip kişiler her zaman çıkar önemli olan onları dikkate almamaktır galiba