İNTERNET

Code injection Nedir ve Nasıl Çalışır?

Posted on by admin
06
Oct

Code injection Nedir

Code injection nedir nasıl çalışır ve nasıl kullanılır.

Uzaktan kod yürütme olarak adlandırılan Code injection. Bir saldırganın uygulamaya kötü amaçlı kod enjekte etme ve yürütme yeteneği tarafından işlenen bir saldırıdır.

Bu yabancı kod, veri güvenliğini ihlal etme, veritabanı bütünlüğünü veya özel mülkleri tehlikeye sokabilme yeteneğine sahiptir.

Birçok durumda, kimlik doğrulama denetimini atlayabilir. Genellikle bu saldırılar, yürütme için kullanıcı girdisine bağlı olan uygulamalarla ilişkilendirilir.

Genel olarak, kod ilk önce doğrulamadan geçmeden yürütülürse uygulamalar daha savunmasızdır. Güvenlik açığından etkilenen bir kodun basit bir durumu aşağıda gösterilmiştir.

example

Yukarıdaki örnekte PHP bilgi sayfası savunmasızdır ve URL http://example.com/?code=phpinfo(); çalıştırıldı.

Günümüzde kullanıcı etkileşimi, uygulamalarla daha fazla etkileşime girdiği için. Code injection büyüdü ve birçok çevrimiçi kaynak için gerçek bir tehdit haline geldi.

 

Injection türleri

Temel olarak dört tip Code injection vardır: SQL injection, Script injection, Shell injection, ve Dynamic evaluation. Bunların hepsi aynı çalışma prensibine sahiptir. Yani, kod uygulamaların içine sokulur ve yürütülür.

Bu yöntem sadece web uygulamasının bir SQL deyiminde bulunan kullanıcı girdisi varsa etkilidir. Daha sonra bir veri tabanı (kötü niyetli bir SQL ifadesi) eklenebilir ve veritabanı sunucusuna karşı çalıştırılabilir.

Aşağıdaki sunucu tarafı sözde kod, SQL injection’a karşı savunmasız olabilecek basit bir kimlik doğrulaması örneğidir.

sql

Yukarıdaki kodda, saldırgan veritabanı sunucusu tarafından yürütülen SQL deyimini değiştirecek bir yük ekleyebilir. Bir örnek şifre alanını şu şekilde ayarlayacaktır:

password’ OR 1=1

Bu, otomatik olarak aşağıdaki ifadenin veritabanı sunucusuna karşı çalıştırılmasına neden olur:

SELECT id FROM users WHERE username=’username’ AND password=’password’ OR 1=1

 

SQL injection ne yapabilir?

Bu en yaygın code injection türüdür. SQL’in, İlişkisel Veritabanı Yönetim Sistemlerinde saklanan verileri işlemek için kullanılan dil olduğu göz önünde bulundurulduğunda. SQL deyimlerini vermek ve yürütmek için kullanılan bir saldırı, verilere erişmek, bunları değiştirmek ve hatta silmek için kullanılabilir.

Saldırganın kimlik doğrulamasını atlayabilmesi, veri tabanında saklanan verilerin tam olarak açıklanması. Veri bütünlüğünü tehlikeye sokması ve reddetme sorunlarına neden olması. Dengeleri ve işeme işlemlerini değiştirmesidir.

 

SQL injection nasıl önlenir?

Uygulamalarınızı daha az savunmasız hale getirmek için birkaç yöntem vardır. Ancak bu yöntemlerden herhangi biri öncesinde. Kullanıcı tarafından gönderilen tüm verilerin kötü olduğunu ve kimseye güvenmeyeceğini varsaymak en iyisidir.

Sonra aşağıdakileri göz önünde bulundurabilirsiniz:

  • Dynamic SQL kullanımını devre dışı bırakın: Bu, kullanıcı girdisi ile veritabanı sorguları oluşturmamanız anlamına gelir. Gerekirse, kullanıcı giriş verileriyle bir sorgulama yapmadan önce değerleri sanitize edin, doğrulayın ve değerlerden kaçının.
  • Güvenlik duvarından yararlanın: Bir web uygulaması güvenlik duvarı (yazılım veya uygulama tabanlı) zararlı verilerin filtrelenmesine yardımcı olur.
  • Daha iyi yazılım kullanın: Bu sadece kodlayıcıların kusurları kontrol etmek ve düzeltmekle sorumlu olacağı anlamına gelir.
  • Sahip olduğunuz tüm gizli verileri şifreleyin, bu bağlantı dizelerini içermelidir.
  • Kesinlikle ihtiyacınız olmadıkça, veritabanınıza yönetici ayrıcalıklı hesaplarla bağlanmaktan kaçının.

 

Script injection

Bu güvenlik açığı, bir saldırganın, kullanıcı arabiriminin öğeleri aracılığıyla. Veriye dayalı web sitelerinin web formları aracılığıyla doğrudan kötü amaçlı kod eklemesine olanak veren bir tehdittir.

Bu saldırı genellikle Cross-Site Scripting veya XSS olarak adlandırılır. Bu <script>, <meta>, <html>, <body>, <embed>, <frame>, <frameset>, <img> etiketleri, script injection için en çok hedeflenen etiketlerdir.

 

Script injection nasıl önlenir?

Script injection önlemeye yönelik adımlar, kullandığınız programlama koduna bağlıdır. Genel olarak, şunları yapabilirsiniz:

  • Potansiyel olarak kötü amaçlı içeriği dışarı çıkararak kullanıcı girdisini doğrulayın ve onaylayın.
  • URL’lerde sorgu dizelerini temizleyin.
  • Sunucuda çalıştırmadan önce tüm veri, dizi ve nesneleri formlarını doğrulayın ve dezenfekte edin.

 

İlginizi çekebilir:

Leave a Reply

Your email address will not be published. Required fields are marked *

peri hokiperihokiGang303@gang303Dakota76@dakota76menang 207 juta spin gates of olympus duta76kunci rahasia menang mahjong ways 2 duta76bongkar rahasia mahjong wins 3 di duta76 raih maxwinmodal receh cuan besar cara cepat menang gates of olympus di duta76.htmlcara mudah menang main mahjong ways 2 pgsoft duta76.htmlmahjong ways 3 kisah bikin semua orang ingin coba duta76.htmlcuan tak henti turun bikin pemain enggan beranjakjejak scatter hitam sumber saldo tebal yang dinantikombinasi spin cakar76 kunci pemain mengejar jackpotscatter mudah didapat berkat pola terbarusetting mahjong jadi pintu menuju jackpotbermain tanpa tekanan mahjong buka rezeki besarcuan deras hadir meski modal tipis mahjong waysrahasia malam buka jalan scatter di mahjongspin sepuh scatter turun tak terbendungtaruhan naik di waktu tepat mengantar pemain jackpotcuan deras dari scatter berlapis mahjong winsdi tengah kegelisahan mahjong menjadi jawaban pastikemenangan milik bersama di mahjong penuh warnamahjong jembatan nyata menggapai harapan besarid pola unik mahjong waysid mengakali scatter mahjong winsid bocoran kode rahasia scatterid rahasia memaksimalkan jackpotid pecah jackpot berkat rtp terbarumomen emas sweet bonanza perkalian pauspola rahasia mahjong ways simbol konek scatter beruntunrizky buktikan mahjong ways 2 gacor data kemenanganscatter hitam mahjong jalur cepat maxwintrik vip awsbet scatter hitam terbarutaktik scatter hitam kaya rayaadi panduan rahasia mahjong ways awsbetbudi uji pola viral mahjong ways 2 menang besarscatter black mahjong membuka ruang cuan tak diduga
langkah utama perihoki main gates of olympus gampang maxwin.html jepe kilat starlight princess jadi sorotan tak menyangka hasil perihoki.html kisah pemain perihoki dapat maxwin puluhan juta mahjong ways pgsoft.html begini rasanya jackpot wild emas selayar perihoki main pgsoft mahjong was 2.html diberikan jenis pola paling terbaik main mahjong wins 3 perihoki.html banyak pemain duta76 mengandalkan gates of olympus untuk profit.html buat akun wild bounty showdown gacor di duta76 pasti jackpot gede.html admin duta76 bagi 5 tips buat cepat tajir di mahjong ways pgsoft.html cara gampang main mahjong ways 2 pgsof tips pro player duta76.html strategi scatter hitam gampang maxwin mahjong wins 3 gacor duta76.html Jackpot bukan mimpi saat mahjong dipahami lebih dalam Mahjong jadi tempat belajar membaca pola Mengatur spin membuka jalan cuan nyata Saldo awet saat pemain mengatur irama naik turun Taruhan naik di waktu tepat mengantar pemain ke jackpot mahjong ways Pola bet spin tepat jalan aman hindari penyesalan Pola zigzag mahjong membuka jalan menghasilkan cuan Rahasia rtp tinggi jarang disadari pemain Rtp tinggi pola tepat jadi fondasi permainan mengalirkan cuan Spin panjang mengalirkan jackpot bagi pemain yang sabar Cuan mengiringi pemain mahjong Mahjong pecah selayar saat wild turun bertubi Mengenali irama permainan langkah awal menuju spin tepat Pola permainan dan kendali emosi menjadi jalan pasti menuju cuan Rtp belum tentu menghasilkan cuan cara ini bikin beda adit trik scatter cepat tanpa ribet baru daftar vip awsbet cetak 93juta solusi scatter hitam mahjong win 3 strategi bonus supir bus mahjong ways 2 trik mahjong ways rtp pgsoft 97 mantan satpam