Database’Lar İçin Yeni Saldırı Tekniği

  1. KısayolKısayol reportŞikayet pmÖzel Mesaj
    r3dros
    r3dros's avatar
    Kayıt Tarihi: 17/Temmuz/2005
    Erkek

    DB güvenlik uzmanı David Litchfield DB’ler için yeni saldırı tekniği geliştirildiğini duyurdu. Bu teknik "Yanal SQL Injection" olarak tabir ediliyor ve db’lere bazı kodlar sızdırarak tam erişim için yeni bir yol yapabilmek mümkün bu yöntemle.

    Fakat bu yöntem sanıldığı kadar kolay bir yöntem değil. Sadece korumasız DB’ler için sınırlı koşullarda etkili olabiliyor.

    David, bu yöntemin ayrıntılarını ilk defa geçen Şubat ayında Washington’daki "Siyah Şapkalılardan Korunma" adlı konferansında açıkladı.

    Bu yöntemin işleyiş şeması kısaca şöyle: Hacker hedef DB’ye çeşitli kodları ard arda yollayarak bir çatlak bulmaya çalışır. Bu yöntem uygulanırken verinin diğer formlarında kullanılan temanın değişkeniymiş gibi davranır. Yada klasik SQL saldırılarında olduğu gibi kullanıcı adı girişlerinde de aynı saldırı gerçekleştirilebilir. David’e göre bu açık çok fazla sömürülecek bir açık değil ve bundan korunmak için "SYSDATE" kullanımından uzak durmak yeterli.

    kaynak:http://www.theregister.co.uk/2008/04/28/lateral_sql_injection/

Toplam Hit: 2187 Toplam Mesaj: 1