Veri Tabanlarını Tehdit Eden Unsurlar SQL Enjeksiyonları

Authors : Tolga Enginsarıkaya, Yüksel Çelik
Pages : 35-35
View : 60 | Download : 124
Publication Date : 2018-02-02
Abstract :Dijital dünya artık bizim için sürekli ihtiyaç haline gelmiştir. Günümüzde artık birçok web sitesi kullanıcılarıyla etkileşim içinde olup onların istekleri doğrultusunda bilgi sunmaktadır. Özellikle son zamanlarda internet üzerinden erişilebilen veri tabanı içeren web uygulamalarının sayısı hızla arttığı gözlenmektedir. Bu artış ile güvenliğin önemi de kat kat artmaktadır. İnternet ağında olan bu veritabanları için alınan güvenlik önlemleri zaman zaman yetersiz kalmakta ve kötü niyetli kişilerin saldırılarına uğrayarak ihlaller yaşanmaktadır. Bu saldırılar kurumların güvenlik seviyelerine ve saldırganın becerisine göre büyük maddi zararlarla sonuçlanmaktadır. Hali hazırda profesyonel biçimde hizmet sunan web uygulamalarının oldukça büyük bir bölümü SQL standardını kullanmakta ve veri tabanı ile iletişimlerini bu sorgu dili olan sql ile yapmaktadırlar.[1] Web güvenliğinin korunması amacıyla güvenlik duvarları, saldırı tespit sistemi ve bunların engellenmesi gibi sistemler kullanılsa da bazen bu tedbirler yetersiz kalmaktadır. Web uygulamalarında saldırganlar tarafından girilen kötücül kodlarla dinamik biçimde oluşturulan SQL sorguları engellenebilir veya değiştirilebilir. Tarayıcıların adres çubukları veya veri girişi yapılabilen alanlara bu kötücül SQL kodları girilerek bilgi elde edinimi yapılabilir. Bu elde edilen bilgilerle sadece yetkili kullanıcıların girişine izin verilen alanlara ve veri tabanında ki diğer bilgilere de ulaşabilir. Böylece saldırgan istenmeyen kodları çalıştırarak uygulamaya veya sunucuya zarar verir.Bu çalışmanın amacı MSSQL ve MYSQL gibi sorgu dilini kullanan ASP.NET ve PHP gibi uygulamalar için SQL enjeksiyon saldırılarının yapılış biçimi, tespit edilmesi ve bu saldırılardan korunma yöntemleri ve SQL enjeksiyonlarına karşı veritabanında uyulması gereken güvenlik kuralları ile bilgi güvenliği amaçlanmıştır. Ayrıca bir diğer amaç olarak web uygulamalarında veriler girilirken veyahut bir iş için veri sorgusu yapılırken SQL komutlarında oluşabilecek hata veya saldırı yapan kişiler tarafından sorguların değiştirilmesi ile muhtemel zararların önüne geçmektir.
Keywords : SQL Enjeksiyon, Web Atakları, Web Güvenliği, Bilgi Güvenliği

ORIGINAL PAPER URL