XSS SOP konseptini bypass etmek olarak bilinir. Eğer saldırı yapılmak istenen sitede XSS açığı var ise saldırgan kendi html kodunu siteye ekleyebilir dolayısıyla Javascript kodu…
Bilgisayar ve Bilişim
Feride Ünlü Yazılar
SQL INJECTION BLİND-BOOLEAN BASED Bu yöntem diğer yöntemlerden daha uzun ve tahmin gerektiren bir yöntemdir. Bir web uygulamasında istek gönderildiğinde, kullanıcıya sadece “false” veya “true”…
SQL injection yapmak için veri tabanından dataları nasıl çekeceğimizden ve bunun için gereken sorgulardan get ve post metotları için ayrı ayrı bahsettik. Şimdi ise bu adımları tek tek yapmak yerine “sqlmap” komutu ile veri tabanından bilgileri nasıl çekeceğimize değinelim.
Bir web sitesi uygulamasında istekler POST metodu ile gönderiliyorsa URL kısmında açık bir şekilde görünmezler. Bu post datayı alabilmek için bazı araçlara ve eklentilere ihtiyacımız olacak. Burpsuite programı kullanarak post dataya erişip SQL injection yapabiliriz.
SQL INJECTION NEDİR?
Bir çok web sitesi uygulamaları dinamiklik için SQL veritabanı kullanır.Bu veritabanında kullanıcı adları, şifreler, email adresleri telefonlar ve hatta banka hesapları ve bir çok gizli bilgi bulunabilir. Web sitesi uygulamalarındaki bazı açıklar kullanılarak bu bilgilere erişilebilir. Bu açıklar veri tabanından kaynaklanmayıp web geliştiricisinin yaptığı hatalardan kaynaklanır.