SQL Injection Videosu - Yorumlar

cenginer

cenginer — Sal, 07 Nis 2009 01:55:59 +0200

arkadaslar ben de bilgisayar mühendisiyim yillardir hack ile ugrasiyorum ilk defa bu sitede mantikli biseyler gördüm normalde hep yabnaci sitelerden çalisiyodum...

yalnizkurt

yalnizkurt — Pzt, 12 May 2008 22:05:10 +0200

gerçekten Ferruh Mavituna yine döktürmüs ellerinize saglik..

Arkadaslar dokumana yada videoya bakip kendinizi sogutmayin aslinda calisip ugrasirsaniz elinizde alisir zihninizde..

zibidi gonzales

zibidi gonzales — Çar, 06 Şub 2008 16:25:16 +0200

çok derin bi mevzu galiba.

setsals

setsals — Paz, 06 Oca 2008 18:58:30 +0200

Makaleyi okudum simdi bir sey sormak istedim biliyorsunuz zehir ile daldigimizda da sql kodlari yazabiliyoruz peki bu daldigimiz serverlada sql den ne gibi faydalar görebiliriz cevabiniz için simdiden tessekürler

selcuq

selcuq — Cmt, 08 Ara 2007 05:46:11 +0200

Gerçekten çokgüel bir çalisma olmus... Parmaklariniz dert görmesin

yardi lutfen

yardi lutfen — Cmt, 13 Eki 2007 19:10:54 +0200

ben bu konuyu uzun suredir arastiriyorum .. ama pratik sansim olmadi bana bu konuda bilgilendirme amacli yardimci olmanizi istiyorum videoyu izledim ... ama hangi programi kullandiginizi anlamadim notepad ilede yapabilirsiniz diye bir ibare var ama nasil ... olacak ... bu kisimta takiliverdim yada pc me herhangibir programmmi indirmem gerekiyor ... yardimlariniz .. ve aciklamalariniz icin tesekkur ederim..

Angelus

Angelus — Per, 11 Eki 2007 22:17:14 +0200

Ferruh hoca ellerine saglik ama mysql ve php ile kodlanmis sayfalarda nasil injection yapabilecegimizide belirtebilirmisin?

Ferruh Mavituna

Ferruh Mavituna — Cum, 05 Eki 2007 14:13:03 +0200

]iyide kardesim tüm webciler biliyor ki ' (gibi özel karakterler) bilgi girislerinde ayiklanir. izin verilmez

Demek ki UN' in (http://ferruh.mavituna.com/makale/bekle-bizi-un/ ) ve Microsoft' un (http://www.youtube.com/watch?v=tJSRnJkH2Ek) ve her gun hacklenen yuzlerce sitenin webcisi o butun webcilerden degilmis.

xxxx

xxxx — Cum, 05 Eki 2007 13:52:47 +0200

iyide kardesim tüm webciler biliyor ki ' (gibi özel karakterler) bilgi girislerinde ayiklanir. izin verilmez

Sql Ögrenicek ins.

Sql Ögrenicek ins. — Sal, 28 Ağu 2007 14:54:07 +0200

Bende Sql injection ögrenmeye çalisiyorum sizlerden ama bir yede kaldim ;

Sql server querry programi nasil bi program onu anlamadim db yi mi yüklediniz onun içine ordan sorgu mu yapiyor çalisma mantigi nedir ? tsk ederim

1

Per, 12 Tem 2007 09:45:35 +0200

Iyi de burda demissiniz ki, 3-4 harfli bir sifre giriyoruz çünkü bazi sitelerde formu göndermeden önce sifrenin geçerliligini onaylayan bir kontroller olabilir, o zaman ben söyle bir kontroller yapsam ki forumdaki (/) (") (') vb. gibi karakterleri kabul etmese korunmazmiyim? En azindan bir yere kadar?

Ferruh Mavituna

Ferruh Mavituna — Sal, 22 May 2007 16:36:58 +0200

güzel bir çalisma. her seyi anladim da siz bunu hangi programda kodlari düzenliyorsunuz.. Lütfen yardim edin?

Videodaki yazilim Editplus -http://ferruh.mavituna.com/makale/editplus-2-11/

ama notepad ya da herhangi bir text editor isinizi gorecektir.

bi sorum olacak

bi sorum olacak — Sal, 22 May 2007 15:53:49 +0200

güzel bir çalisma. her seyi anladim da siz bunu hangi programda kodlari düzenliyorsunuz.. Lütfen yardim edin?

gökhan

gökhan — Cmt, 10 Mar 2007 20:50:54 +0200

güzel bir çalisma

EMIN NOYAN

EMIN NOYAN — Cmt, 10 Şub 2007 14:06:11 +0200

selam arkadaslar biraz yardima ihtiyacim var yardim etseniz sevinirim ben türnü videolari kod haline getiremiyom bilen arkadasimiz varsa eminnoyan@hotmail.com yardim ederse sevinirim heppinize tsk

aquila

aquila — Sal, 06 Şub 2007 17:11:35 +0200

Ferruh bey ilk login yaparken login de username'in ustune gelioyorsunuz bir anda kullanicilarin isimleri,sifreleri ve mail adresleri cikio ben orayi anlamadim orada ne oluyorda hemen o kisma geliyor yoksa o bir program felanmi birde bu kodlari yazdigimiz program hangisidir?yanlismi dusunuyorum yanlis dusunuyorsam cahilligimi magdur gorun.Lutfen elimden geldigince anlamak istiyorum yardim edin.tesekkurler.

aStaLaviSta

aStaLaviSta — Cum, 02 Şub 2007 19:25:43 +0200

Ferruh Hoca iyi hos etmissinde ...

Hacim sende biliyorsun ki yogun tempo içersinde gözümüzden kaçabilior temizleme fonksiyonlarini login sorgularina eklemek , simdi sen iyi etmissin hos etmissin bunlari zaten biz biliyoruz. En azindan çoluk çocuga yaymayin bunlari sitenin hacklenmesinin ne kadar zor oldugunu bilen biri olarak injection ile hehe diye siritan veletler çok can sikiyor)

O degilde herkese öneririm ben formlardan gelen bilgiyi md5 ile sifreler ve kullanirim bilesen felan gerekmeden tek fonksiyonla burda anlatilan neredeyse tüm yöntemlerden korunurum. Yani dalginlik hata yaptirir ve sonuçlari kötü olur.

Askeriyede yapildigi gibi yapacaksin kodlama isini

T A L I M A T N A M E
1 - ilk evvela bilgisayarin güç dügmesine basilir ( Eleman ne oluo demeden power'a yapisir bir arkadas çat reset )
2 - Script yazilmaya baslanmak için hazirlanilir.
3 - ....

Gerçektende bu isi böyle yapabilen adam varmidir yaw piyasada ben inanmiyorum açikçasi yani hepimizin hatalari olmustur mutlaka bu kadar abartilmamali diye düsünüyorum.

Saygilarimla...
Baran SEREN
Vista Yazilim ve Danismanlik Ltd. Sti.

a

Sal, 30 Oca 2007 13:18:42 +0200

Yorumlar onaylanip eklenecekmis vazgeçtim

emimer

emimer — Paz, 28 Oca 2007 23:50:10 +0200

öncelikle ellerinize, beyninize, gönlünüze saglik.
"seslendirmeyi bilgisayar ile yaptim" demissiniz.
Adobe Captivate kendisi mi seslendir-ebil-iyor?
Yoksa baska bir program mi kullandiniz?

shut seven

shut seven — Cmt, 27 Oca 2007 18:28:40 +0200

Selamun aleyküm ferruh bey benim bi sorum olcak bu sql injections sonuna kadar izledim yalniz bu basit sistemler için gecerli su an için vbulletin sistemi üzerinde sql injections için bi kaç yöntem denedim yalniz olmadi tabi siz daha bilgilisiniz ama sorum su ;

$md5string=md5_hex($INPUT{'password'});

logaritmasiyla md5 codu hew güvenlik nosuyla birlestirilip tekrar md5 ile hash haline getiriliyor burda sql yolunun

SELECT * FROM user WHERE password=MD5(CONCAT(MD5(password), user.salt))

seklnde gitgini varsayarsak burda sql injections metdodu için olay çok karsiyor burdaki sorgudan sonuc alma olasiligimiz nedir?

ilter

ilter — Çar, 24 Oca 2007 02:06:47 +0200

Aslinda SQL Injection'la logine karsi karakter sinirlamasi getirmek epeyce etkili olabilir... ", ', - , vb. karakterlerin girisi engellenebilir...

selim

selim — Sal, 23 Oca 2007 19:21:56 +0200

çok güzel ve basit(belki biraz fazla:P) bir sekilde anlatmissin. konu hakkinda az çok bilgim vardi ama yine de çok isime yarayacak. ve yine; her zamanki gibi sana yakisan bir seyler yapmissin:)
tesekkürler

D@dvi

D@dvi — Paz, 21 Oca 2007 23:08:02 +0200

Süper bir çalisma olmus..

Ferruh Mavituna

Ferruh Mavituna — Paz, 21 Oca 2007 19:06:04 +0200

Cok sabirsiz görünmek istemiyorum ama, bir sonraki makale ne zaman gelecek

Acikcasi su an bende vakitleri planlamaya calisiyorum bir dizi makale aslinda hazir direk ufak tefek duzenlemeler yapip atabilirim ancak ondan sonrakiler hazir degil dolayiyla her 3 gunde bir bolum yayinlamayi planliyorum. Hem aradaki vakitlerde de bir onceki makaledeki konular denenip gelistirilir, soru-cevaplar yapilir. Hatalar varsa duzeltilir diye dusundum. Yani bir sorun cikmazsa insallah 2 gun icerisinde yeni bir bolum geliyor. Ancak ufak ufak geliyorlar ve onlarda temel konular umarim beklemek cok sikici olmaz.

joy

joy — Paz, 21 Oca 2007 18:55:15 +0200

Cok sabirsiz görünmek istemiyorum ama, bir sonraki makale ne zaman gelecek Bir lokantadayiz diyelim.. Cok acikmisiz.. ve sadece yemegin tadina bakip yemegin hazirlanmasini bekliyoruz.. Ne kadar zor bi bekleyis oldugunu tahmin edebilirsiniz..

Ferruh Mavituna

Ferruh Mavituna — Paz, 21 Oca 2007 14:52:29 +0200

dün gece aklima geldi, videoda açik nasil kapatilir diye de bir bölüm olsa daha iyi olmaz mi?

Bir sonraki bolumde var, videosu da var. Geliyor

eqzo

eqzo — Paz, 21 Oca 2007 14:43:01 +0200

dün gece aklima geldi, videoda açik nasil kapatilir diye de bir bölüm olsa daha iyi olmaz mi?

Müzik benide bitirdi

Ferruh Mavituna

Ferruh Mavituna — Cmt, 20 Oca 2007 23:09:36 +0200

Yok ferruh bey ben anlatamadim.

Ah pardon, simdi anladim. Evet var oyle olmasa da taktikler var. simdi burada detaylara girmeyeyim yoksa makaleye bir sey kalmaz Yakinda diyip reklam yapayim.

Yorumlara girip cikarken de beynimi oydu muzik!

Varol

Varol — Cmt, 20 Oca 2007 23:05:30 +0200

Yok ferruh bey ben anlatamadim.

Saldirgan table daki kullanicilari bilmiyorki benim tablomda misal admin diye birsey yok abdurrahman, sadullah, hudavendigar gibi userlar var. Sorgu yaptiramadigi sürece sadece ilk kullaniciyla login olabilir degilmi. fake olarak ilk kullanicinin yetkilerini null geçebiliriz bu da bir yöntem olabilir heralde

Ferruh Mavituna

Ferruh Mavituna — Cmt, 20 Oca 2007 23:00:13 +0200

bunun yerine wink ile hazirlamayi tercih ederim.

Zevk, renk keyif olayi ben bunu sevdim bunu kullaniyorum ve muhtemelen kullanacagim.

Ferruh Mavituna

Ferruh Mavituna — Cmt, 20 Oca 2007 22:57:11 +0200

Fakat istedigi bir kullaniciyi alabilme yöntemi varmi?

Videonun sonlarina bakarsaniz orada mesela "admin'--" gibi bir kod ile admin olarak login olduk. Bir kac yontem daha kullanilabilir onlara da deginecegiz.

Ozetle videonun 35. karasinden sonra detayli sekilde nasil yapilacagi anlatiliyor.

Varol

Varol — Cmt, 20 Oca 2007 22:32:51 +0200

Çok güzel bir video olmus.. Tutorial da da bahsettim.

Bu injectionlarla table daki ilk kullanici login olabiliyor. Fakat istedigi bir kullaniciyi alabilme yöntemi varmi? Yani sonuçta adam benim table imda abdulvahap diye birisinin oldugunu bilmiyor degilmi ID sinide bilemiyor. or ile esitligi saglayip geçisi ID si 2 olan kullanici ile yapmak gibi bir injection tarzi varmidir acaba?

BiNNeR

BiNNeR — Cmt, 20 Oca 2007 16:08:59 +0200

hizlica baktim listenize, satin alinmis yazilimlar arasinda göremedim.
Üzgünüm ben 599$ vererek bir captivate lisansi alamam çünkü alsam bile ben bu sekilde aldigim bir lisansin parasini herhangi bir sekilde çikaramam..

bunun yerine wink ile hazirlamayi tercih ederim.
http://www.debugmode.com/wink/
her ne kadar açik kaynak kodlu olmasa da sonuçta ücretsiz..

ve saniyorum yukarida hazirladiginiz tutorial'in aynisini wink ile de hazirlayabilirsiniz. Yani captivate deki özellikleri kullanmayacaksam neden bu kadar para vereyim.

ama eger captivate 'in rahatligini söylüyorsaniz : evet gerçekten kendisi otomatik olarak suraya tiklandi vs. yaziyor .. Onlar üzerinde degisiklik yapmam tutorial hazirlama süresini kisaltiyor..interaktif tutorial hazirlamak mümkün.. birseyleri anlattiktan sonra kullanicinin da adim adim flash üzerinden belirli islemleri yaparak tekrar etmesi mümkün.. bu özellikleri kullanmayacaksam da wink ile devam ederim.

Ferruh Mavituna

Ferruh Mavituna — Cmt, 20 Oca 2007 12:46:34 +0200

captivate lisansli mi yoksa deneme sürümümü kullaniyorsunuz ??

Bakiniz büyük sehir çalisiyor :http://ferruh.mavituna.com/anti-piracy/

deneme sürümü ile hazirlamayip buraya koymanin bir problemi varmi ??

Bilmiyorum lisansi incelemek lazim, ben bayagi bir arastirdim cativate flash movie konusunda en iyisi gibi biraz pahali ama gul - diken iliskisi. Normal video icinse sanirim en iyisi snagit.

BiNNeR

BiNNeR — Cmt, 20 Oca 2007 12:42:11 +0200

captivate lisansli mi yoksa deneme sürümümü kullaniyorsunuz ??

deneme sürümü ile hazirlamayip buraya koymanin bir problemi varmi ??

wink gibi ücretsiz bir yazilim da kullanilabilir fakat captivate çok çok daha kaliteli.

Ferruh Mavituna

Ferruh Mavituna — Cmt, 20 Oca 2007 03:04:49 +0200

Soru / cevap haline dönmesinde hiç bir zarar yok sorulari da çok sorulan sorular gibi ekstradan bir yere toplayip onlari da günnceleyegiz insallah bu sayede çok sorulan sorulari da cevaplamis oluruz.

hi' or 1=1 --

Makaleye dikkat ederseniz orada mantiksal operasyondan bahsediliyor.

Örnekler ile;

1=1 AND 1=2 > Yanlis
1=1 OR 1=2 Dogru (cunku iki olasiliktan biri dogru)
username='bilmem' OR 8587697986745785=8587697986745785 > Dogru

Özetle buradaki injection' da önemli olan herhangi bir sekilde sorguyu dogru olarak döndürmek.

joy

joy — Cmt, 20 Oca 2007 01:32:08 +0200

Bir sorum olacak.."Soru cevap" haline getirmek istemem yorum bölümünü fakat, arkadaslar icinde aciklayici olacaktir.. Username ve Password bölümünde kullanilacak 'OR"=' veya admin'-- kodlari yerine, ben bir login sayfasinda hi" or 1=1 -- kodlariyla login olabildim.. Bu kodu bulana kadar onlarca kod denedim.. Bu denenecek kodlarin calisma mantigi veya hangisinin nerde hangi sekilde kullanabileceginin bir aciklamasi var mi? yoksa deneme yanilma yonteminemi basvurmamiz gerekiyor..
Saygilarimla..

joy

joy — Cmt, 20 Oca 2007 01:11:38 +0200

Ellerinize saglik.. Sonunda bekledigimiz an geldi, gercekten size yakisir sekilde kaliteli bir is cikarmissiniz.. Tebrikler.. Takipteyiz..

Ferruh Mavituna

Ferruh Mavituna — Cmt, 20 Oca 2007 00:47:18 +0200

Tesekkurler, Sesi bilgisayar ile yaptim.

Mehmet

Mehmet — Cmt, 20 Oca 2007 00:10:47 +0200

Eline saglik Ferruh,
merak ettigim birsey var.
Seslendirmeyi kime yaptirdin?
:)