Arşiv

Günlük Okunma : 15 | 15.03.2007

Fast way to extract data from Error Based SQL Injections What is this? This attack described in Advanced SQL Injection in SQL Server Applications paper by Chris Anley. This page is just a step by step tutorial.   Where can you use? If you have found an error based in SQL Injection in SQL Server   What is the point? You don’t have to extract every single record one by one. You can get all of them with fewer requests   Theory Loop all records and insert in a temporary table (generally all users have create table permission) Read temporary table Drop table and start aga......

Günlük Okunma : 4 | 01.03.2007

SQL Injection Derslerimiz yavaş olsa da devam ediyor. Eski SQL Injection derslerinin devamı olarak az önce Union ile Data Okuma makalesini ekledim. ...

Günlük Okunma : 15 | 01.03.2007

SQL Injection - UNION ile Data Okuma SQL Injection’ ın sadece üye giriş ekranları için geçerli olduğunu sanıyorsanız bir çok web programcısı gibi çok zararlı bir fikre sahipsiniz demektir. SQL Injection bir çok yerde bir çok şekilde olabilir. SQL Injection açıkları eğer üye giriş ekranında değilse en faydalı şey SQL Injection ile veritabanındaki istediğiniz tablodan data okumaktır. “Üyeler” veya “......

Günlük Okunma : 2 | 22.02.2007

 Bu proje genel olarak tüm injection ataklarından korunma ve meta-karakter sorunu ile başetmek için bir çözüm.  Preventing Injection Attacks with Syntax Embeddings -- A Host and Guest Language Independent Approach  dokümanını okursanız zaten konuyu ve çözümü anlayacaksınız. Genel olarak ne kadar kabul görür bilinmez ama mantıklı bir çözüm....

Günlük Okunma : 11 | 20.02.2007

SQL Injection'dan Korunma Video Bu video bir önceki makalelerde örnek olarak gösterilen kodu düzeltmeyi gösteriyor. «SQL Injection neden dolayı oluşur ve Nasıl Korunulur? | SQL Injection'dan Korunma Videosu | Bir sonraki ders yakında, takipte kalın......

Günlük Okunma : 3 | 19.02.2007

XSSed XSS içeren sitelerin aynı Zone-H gibi kopyalarını tutuyor ve direk link veriyor. Benim gördüğüm kadarıyla ya yapımcıları Türk ya da geniş bir Türk katılımcı içeriyor. XSS açıklarını buraya eklerken bazı ilginç noktalar da oluşmuş, Mesela bu örnekte ilgili sitenin daha ciddi bir sorunu var gibi, o da SQL Injection :) Örneği sorun çıkması ihtimali ile sildim, bir devlet sitesiydi. Ek olarak çok uzun zamandır yapmadım bir şeyi yaptım 2-3 gün kadar önce kendilerine bir e-mail atıp ilgili sayfa' nın adresini gönderdim ve sitelerinde açık olduğunu belirttim. Henüz bir cevap gelmedi, açık......

Günlük Okunma : 16 | 28.01.2007

SQL Injection neden dolayı oluşur ve Nasıl Korunulur? Bu yazı dizisi temel olarak saldırıya dayalı olduğundan dolayı detaylı korunma ve defans yolları anlatılmamıştır ve bu yazı dizisi etrafında anlatılmayacaktır. Saldırıyı anlamak korunmayı anlamanın en önemli kısımlarından biridir. Yazıda sadece yöntemlere değinilmiş ve ilgili dil-platform implementasyon pratiği okuyucuya bırakılmıştır. SQL Injection açığı neden oluşur ? SQL Injection şüphe götürmez ki web uygulamalarında yaygınlık / hasar oranı en yüksek açıktır. Muhtemelen exploit etmesi de en eğlenceli ve bazen tahmin edilenden daha z......

Günlük Okunma : 3 | 22.01.2007

Hala çok ısınmadık ancak az kaldı, 2 yeni SQL Injection makalesi ekledi.Başka bir kullanıcı olarak giriş yapmaSQL Injection Test Laboratuarı KurmaEk olarak SQL Injection Dersleri ve Videolarının Listesi sayfasından tüm SQL Injection makalelerine her zaman ulaşabilirsiniz. Yeni eklenen makalelerde orada listelenecektir.Ufak bir ipucu olarak makaleleri "Print Document" resmine tıklayarak yeni bir sayfada menü vs. olmadan okunacak şekilde açabilirsiniz. Bu sayfa printerdan çıktı almak ya da makalenin bi......

Günlük Okunma : 18 | 22.01.2007

SQL Injection Test Laboratuarı KurmaEğer bir önceki derslerde öğrendiklerinizi ve izledikleriniz elinizi kirletmeden anladığınızı düşünüyorsanız, büyük bir yanılgı içerisindeniz. Şimdi hemen bir test sistemi kuracağız ve siz de buradaki tüm işlemleri bu test sisteminde test etme fırsatı bulacaksınız. Bu sistemi kurmanızı ve tüm buradaki işlemleri ve daha fazlasını kendi sisteminizde test etmeniz şiddetle tavsiye edilir. Bu sistem daha sonraki bölümlerde ve kendiniz ......

Günlük Okunma : 28 | 22.01.2007

Üye girişi yapmaktan bahsetmiştik. Aslında genelde ilk üye yönetici olur bu yüzden şanslıyız ama tabii ki bize bu yetmez. Biraz daha yeni numaraya ve detaylara ihtiyacımız var. Bu yüzden şimdi nasıl başka bir kullanıcı olarak üye gişiri yapacağımızı göreceğiz. Başka bir kullanıcı olarak üye girişi yapmanın başka yöntemleri de var ancak bu bölümde en basitini inceleyeceğiz. Ek olarak bu yöntemi daha sonraki ileri seviye SQL Injection’ larda da sık sık......

Günlük Okunma : 6 | 19.01.2007

Evet, yavaş bir başlayış ama sindire sindire olacak. Şimdilik iki açılış makalesi ve bir video sizi bekliyor. SQL Injection Derslerine GirişSQL Injection' a Giriş ve SQL Injection Nedir?SQL Injection' a Giriş Bölümünün VideosuSiz kampımıza ısınırken ben de diğer makaleleri hazırlamak ile uğraşıyor olacağım.Yakında gelecekler,Başka bir kullanıcı olarak üye girişi yapma (videosunu izlemiş olacaksınız zaten)Koddaki açığı kapamaKo......

Günlük Okunma : 51 | 19.01.2007

SQL Injection VideoBirinci bölümdeki bahsedilen SQL Injection' ın videosu. Video SQL Injection ile login sayfasının geçilmesini ve birinci bölümde henüz anlatılmamış ama bir sonraki bölümde anlatılacak olan başka bir kullanıcı olarak üye girişi yapma işlemini de içeriyor.« SQL Injection'a Giriş ve SQL Injection Nedir? | SQL Injection Video | Başka bir kullanıcı olarak giriş yapma »...

Günlük Okunma : 86 | 19.01.2007

SQL InjectionFor successful operations, surprise must be achieved by guerrillas. Intelligence is extremely important, and detailed knowledge of the target's dispositions, weaponry and morale is gathered before any attack.SQL Injection web uygulamalarında ki en ciddi açıkların başında gelir. Özellikle frameworkler ve ORM (Object Relational Mapping) gibi ekstra veritabanı katmanlarının popülerleşmesi ile eskisine göre bugünlerde biraz daha az görülmektedir ama emin olun hala heryerdeler!Web uygulaması geliştiricilercileri SQL Injection’......

Günlük Okunma : 25 | 19.01.2007

Web Uygulaması Güvenliğinde Gerilla Taktikleri El conocimiento nos hace responsables...Bilginin Kullanım Şartları Bu yazı dizisindeki bilgiler, kodlar ve anlatılanlar Türkiye Cumhuriyeti kanunlarına ya da Computer Misuse Act 1990 a aykırı olabilecek şekilde kullanılamaz. Kullanıldığı dahilde yazar hiç bir sorumluluk kabul etmez sizi MI5, MIT, FBI ve CIA’ den korumaz. Yazıyı Kopyalamak, Çalmak ve Çırpmak Bu yazı yazarın adı yazının başında olduğu ve bu sa......

Günlük Okunma : 10 | 14.01.2007

Burada çok ciddi bir sorunumuz var. Benim esas alanım güvenlik ve özellikle de web uygulaması güvenliği. Bunun anlamı arge' mi ve aktif çalışma zamanımı esas olarak web uygulaması güvenliği ile ilgili olarak harcamam. Çelişki şurada ki sitedeki genel konulara bakınca bu konuda çok az şey yazmış olmam. Sitede bir çok güvenlik konusunda çok fazla yazı yok. Bunun nedenleri var. En büyüğü ise bu tip bir çok konunun daha önceden ingilizce olarak üretilmiş olması ve benim de zaten yapılmı......

Günlük Okunma : 8 | 17.12.2006

sqlmap is another open source SQL Injection tool on Python. Seems quite promising. Unfortunately it doesn't support ORACLE and MsSQL yet....

Günlük Okunma : 3 | 22.08.2006

SQLBlock trying a different approach to block SQL Injection attacks. Putting a control layer between application and database. While idea is quite good we all know these kind of protections never better than secure coding practices. But it's always welcome for defense in depth. Check out demo and research paper which give more information about SQLBlock. ...

Günlük Okunma : 3 | 24.06.2006

Nowadays it's very popular to develop a sql injection tool. I think there are at least 5 promising tools released this year.Anyway, some features sqlninja's looks nice. Main focus of tools not blind sql injection or similiar data extraction methods like others but accesing a shell especially in a firewalled scenario. Now, we are looking forward for YASIT (yet another sql injection tool)....

Günlük Okunma : 5 | 26.07.2004

1) SQL Injection; Severity : Moderatly Critical 2) Information Disclosure; Severity : Low Critical 3) XSS (Cross Site Scripting); Severity : Low Critical 4) Database Download; Severity : Moderatly Critical ------------------------------------------------------ ABOUT ASPRunner; ------------------------------------------------------ Developer Description; ASPRunner creates a set of ASP pages to access and modify Oracle, SQL Server, MS Access , DB2, MySQL, or FileMaker databases, or any other ODBC datasource. Using generated ASP pages, users can search, sort, edit, delete an......