İstanbul
+90 543 947 95 80
info@jeffbezosweb.com

Web Sitesi Koruması – SEO Hizmeti Sunma – SEO Hizmeti – SEO Hizmeti Ücretleri – SEO Hizmeti Yaptırma

Web Danışmanlık Hizmeti, Seo Hizmeti Al, Mobile Uygulama Yaptır, Back Link Satın Al, Blog Yazdırmak İstiyorum, Web Sitemi Tanıtmak İstiyorum, İngilizce Blog Yazdırmak İstiyorum, Makale YAZDIRMA siteleri, Parayla makale YAZDIRMA, Seo makale fiyatları, Sayfa başı yazı yazma ücreti, İngilizce makale yazdırma, Akademik makale YAZDIRMA, Makale Fiyatları 2022, Makale yazma, Blog Yazdırma, Tasarım Yaptırmak İstiyorum, Tüm bu hizmetlerimizden yararlanmak için mail kanalımızı veya sağ alt köşedeki Whatsapp tuşumuzu kullanabilirsiniz. info@jeffbezosweb.com

Web Sitesi Koruması – SEO Hizmeti Sunma – SEO Hizmeti – SEO Hizmeti Ücretleri – SEO Hizmeti Yaptırma

Dosya Menüsü – SEO Hizmeti Sunma – SEO Hizmeti – SEO Hizmeti Ücretleri – SEO Hizmeti Yaptırma

Web Sitesi Koruması

Bir sitenin XSS saldırılarına karşı savunmasız olup olmadığı, yukarıdaki örnekte gösterildiği gibi, alert komutunu parametre olarak ileterek doğrulanabilir. Bu test başarılı olursa, yani mesaj penceresi açılırsa, çoğu durumda başka herhangi bir XSS saldırısı da mümkün olacaktır. XSS saldırılarından nasıl kaçınılabilir? XSS’nin önlenmesi için tekniklerin üç kategorisini listeler:

• Giriş filtreleme: Gelen isteklerin potansiyel XSS saldırıları içerip içermediği kontrol edilir. Örneğin, HTML etiketleri yasaklanabilir ve “<” gibi semboller “&lt” ile değiştirilebilir. Giriş doğrulama, olası güvenlik tehditlerinin farkında olan bir uygulama programcısının daha fazla programlama çabası gerektirir.
• Çıkış filtreleme, giriş filtrelemeye oldukça benzerdir, ancak kullanıcı verileri, istemciye HTTP yanıtı gönderilmeden önce kontrol edilir.
•Uygulama güvenlik duvarları, HTTP trafiğini durdurur ve XSS saldırılarını Web sunucusuna gönderilmeden önce tespit edebilir ve engelleyebilir.

SQL

SQL, ilişkisel veritabanı sistemleri için standartlaştırılmış bir sorgulama dilidir. Birçok Web uygulaması, kullanıcı isteklerini veritabanlarına ileterek (ilişkisel) veritabanı sistemleriyle etkileşime dayanır.

Yani, kullanıcı girdisine dayalı olarak, verileri almak veya değiştirmek için SQL sorgu ifadeleri oluşturulur ve veritabanı sistemlerine gönderilir. SQL enjeksiyonu, saldırganların Web uygulamasının uygulanmasındaki kusurlardan yararlanarak kötü amaçlı SQL kodu çalıştırabilecekleri anlamına gelir.

SQL enjeksiyonu ve ayrıca siteler arası komut dosyası çalıştırma (XSS), genel kod enjeksiyon saldırıları kategorisine aittir, ancak saldırı özellikleri farklıdır. XSS, kurban kullanıcı, saldırıya uğrayan hizmet sağlayıcı ve saldırgan olmak üzere üç tarafı içerir.

Bunun aksine, SQL enjeksiyonu kullanan bir saldırgan, doğrudan bir Web uygulamasına saldırarak hizmet sağlayıcıların ve onların müşterilerinin güvenliğini baltalayabilir. SQL enjeksiyonu, kod enjeksiyon saldırılarının en önemli temsilcilerinden biridir.

Altta yatan veritabanı sistemine, örneğin bir XML veritabanına bağlı olarak, XPath veya XQuery enjeksiyonu gibi diğer saldırılar da gerçekleşebilir.

Aşağıda, SQL enjeksiyonunun güvenlik tehditlerine odaklanıyoruz ve bunların önlenmesi için olanaklar sunuyoruz. XML veritabanları gibi ilişkisel olmayan veritabanı sistemlerini kullanan hizmet geliştiricilerin, ilgili hizmet uygulamaları için analog güvenlik hususlarını uygulamaları teşvik edilir.

Müşterileri için kişiselleştirilmiş siteler sunduğu bir önceki örneği bir kez daha ele alalım. Kullanıcılar, kullanıcı adlarını ve parolalarını bir Web formuna girdikten sonra kişiselleştirilmiş mybookstore sayfalarına yönlendirilir. Yönlendirilmeden önce, gönderilen hesap bilgileri sonraki SQL sorgusu kullanılarak doğrulanır:

book.store.com veritabanındaki kullanıcılar tablosu tüm kullanıcı bilgilerini saklar. $name ve $password, ilgili Web formunun giriş değişkenleridir.

Girdi parametreleri, tırnak işaretleri içinde yukarıdaki SQL ifadesine eklenir. Bir saldırgan, uygun girişi girerek bundan yararlanabilir. Kötü niyetli bir kullanıcının şifre alanına ‘VEYA’=’ girdiğini varsayalım. Veritabanı sistemine aşağıdaki SQL deyimi gönderilecektir.

AND ve OR boole operatörlerinin öncelikleri ile ilgili olarak, ifade parantez içinde şuna eşdeğerdir. Bu durumda WHERE yan tümcesi her zaman doğru olarak değerlendirilir.


Web site yap sat
Hazır web siteleri
Web sayfası Oluşturma
Basit web sitesi yapma
Hazır web sitesi ücretsiz
Kolay site
Web site domain


Bu nedenle, oturum açma işlemi boş olmayan bir sonuç kümesinin döndürülüp döndürülmediğini basitçe kontrol ederse, erişim izni verilir. Bu basit örneğin dışında, saldırganlar yönetici ayrıcalıklarıyla erişim elde edebilirler, ör. admin adlı bir yönetici hesabı olduğu varsayımı altında giriş alanına ‘ OR name=’admin’ yazarak yapılır.

Bu durumda, yönetici ayrıcalıklarına sahip yeni kullanıcı profilleri oluşturabilir veya veritabanı üzerinde tam ayrıcalıklara sahip ayrı bağlantılar kurabilirler.

SQL enjeksiyonunun tehditlerini gösteren bir örnek daha veriyoruz. book.store.com’un müşterilerin bir metin kutusuna bir arama dizesi girip eşleşen kitapların bir listesini alabileceği bir arama seçeneği sunduğunu varsayalım. Aşağıdaki SQL deyimi kullanılacaktır.

Bu, orijinal SQL deyimini sonlandıran ve başka bir deyimi yürüten bir arama kriteri girerek kötü niyetli kullanıcılar tarafından kötüye kullanılabilir.

İlk önce tablo kitapları, belirli bir başlık belirtilmeden taranır. Daha sonra, ikinci komut kitaplar tablosunun silinmesine yol açar. İki eğik çizgi, SQL’de yorumları tanıtır ve orijinal sorgunun kalan kısmını atlamak için kullanılır. Açıkçası, saldırganlar bu şekilde book.store.com veritabanında neredeyse tüm SQL işlemlerini gerçekleştirebilir – yalnızca bu ifadelerin yürütüldüğü veritabanı hesabının ayrıcalıklarıyla sınırlıdır.

Şimdiye kadar sadece string parametreleri içeren ifadeler sunduk. Bu yüzden dize sonlandırma için ‘-tırnak işareti kullandık. Tamsayılar gibi parametrelerin veri tiplerine bağlı olarak bu gerekli değildir. Ek olarak, saldırıları basitleştiren ifadelerin sonunda giriş parametreleriyle SQL sorguları gösterdik.

SQL sorguları bir satır içinde yazılırsa, açıklamaların kullanılmasıyla ifadenin sonu göz ardı edilebilir. Aksi takdirde, saldırılar daha zordur. Her halükarda, kötü niyetli kullanıcıların saldırı yapabilmek için SQL ifadelerini bilmesi gerektiğini iddia edebilirsiniz.

Basit deneme yanılma yönteminin dışında, ifade yürütüldüğünde sözdizimi hatalarına yol açan istekler girebilirler. Web uygulaması dikkatli hata işleme ile donatılmamışsa (yazılım mühendisliği açısından bu her zaman böyle olmalıdır), veritabanı tarafından üretilen hata kodu istek sahibine, yani saldırgana iletilebilir. Veritabanı sistemine bağlı olarak, hata metni yürütülen sorguyu içerebilir.

• Parametre doğrulama: SQL enjeksiyonunu engellemenin bir yolu, girdi parametrelerinin sözdizimini doğrulamak, yani hizmet geliştiricinin beklediği biçimde olup olmadıklarını kontrol etmektir. Bu, uygun doğrulama yöntemleri oluşturmak için olası tüm SQL enjeksiyon saldırı türlerinden haberdar olması gereken uygulama programcısı için açık bir şekilde ek bir yük getirir.

•Hazırlanmış ifadeler: Hazırlanmış ifadeleri kullanmak en iyi uygulamadır. Çoğu veritabanı sistemi, sorgu optimizasyonu amacıyla hazırlanmış ifadeleri destekler. Hazırlanan ifadeler parametrelendirilebilir, yani ifadeler ve parametreler ayrı ayrı veritabanına gönderilir. Veritabanı (veya veritabanı bağlantı sürücüsü), parametrelerin türünü kontrol eder. Böylece, dizeler buna göre alıntılanır.

• İstisna işleme: Veritabanı tabanlı Web uygulamalarını uygularken, özlü bir istisna işleme gerçekleştirilmelidir. Yakalanmak yerine istemciye gösterilen veritabanı hataları, yalnızca düşük uygulama kalitesi izlenimi vermekle kalmaz, aynı zamanda saldırganlara yardımcı bilgiler sağlar.

• En az ayrıcalık ilkesi: Tipik olarak, Web uygulamaları, tahsis edilmiş bir veritabanı hesabı aracılığıyla temel veritabanı sistemlerine erişir. Bu hesaba verilen ayrıcalıklara bağlı olarak SQL enjeksiyon saldırıları, verebilecekleri zarara göre değişiklik gösterir.

Arama işlevinin, veritabanı yönetimi ayrıcalıklarına sahip bir hesap altında çalıştırıldığını varsayalım. O zaman yukarıdaki masayı düşürme saldırısı başarılı olur. Aynısı, en düşük ayrıcalık ilkesi izlenirse geçerli değildir: bu, yalnızca gerekli ayrıcalıkların verildiği bir veritabanı hesabının kullanıldığı anlamına gelir, yani tablo kitaplarından seçim yapın.


Web sitelerinizi, arama motorlarında en yukarı getirmek adına sizlere 3 adet paket öneriyoruz. Bu paketler sayesinde web siteleriniz aramalarda 1 yıl içerisinde en yukarıya tırmanacaktır. 

1) Backlink Paketi  50 $ (Yıllık Ücret)
2) Hızlandırma Paketi 300 $ (Yıllık Ücret)
3) Kelime Yönlendirme Paketi 150 $ (Aylık Ücret)


 

author avatar
Yazılım Deniz

 

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

× Bize Whatsapp'tan Ulaşın