İçeriğe geç

SQL INJECTION (POST)

Bir web sitesi uygulamasında istekler POST metodu ile gönderiliyorsa URL kısmında açık bir şekilde görünmezler. Bu post datayı alabilmek için bazı araçlara ve eklentilere ihtiyacımız olacak. Burpsuite programı kullanarak post dataya erişip SQL injection yapabiliriz.

Burpsuite programını kullanabilmek için vekil sunucuyu manuel olarak ayarlamamız gerekir. Vekil sunucuyu elle ayarladıktan sonra isteklerin Burp e düştüğünü görürüz.

Görüldüğü üzere post dataya burada ulaşabiliyoruz. GET metodu için kullandığımız sorguları bu sefer Burpsuite programında kullanarak forward edelim.

GET için kullandığımız aynı sorguyu Burpte de yazdık. Çıkan sonuç aynı olacaktır.

Kullanıcı adı, şifre ve emailleri de bu yöntemle Burp kullanarak çekelim.

Forward ettiğimizde aldığımız tablo aşağıdaki gibi olacaktır. Kullanıcı adı ve şifrelerin hashlenmiş halini burada çektik.

SQL injection yapmak için veri tabanından dataları nasıl çekeceğimizden ve bunun için gereken sorgulardan get ve post metotları için ayrı ayrı bahsettik. Bir sonraki yazımda ise bu adımları tek tek yapmak yerine “sqlmap” komutu ile veritabanındaki bilgileri çok kolay bir şekilde nasıl elde edebileceğimizden bahsedeceğim. Bilgi ile kalın, iyi çalışmalar 🙂

Tarih:Sql Injection
Created by Feride Ünlü