SQL saldırıları ile "sıradan hacker" şovu!

Eğer biri bu işe dur demezse, çok yakında yüzlerce "sıradan hacker" şov yapmaya başlayacak!

SQL saldırıları ile "sıradan hacker" şovu!

Yazılım güvenliği alanında çalışma yürüten Veracode firması, internet güvenliği açısından kara bir tablo çizen raporunu açıkladı. Firma analistleri, yazılım firmalarının kod güvenliği konusundaki özensizliklerinin, neredeyse hiç teknik bilgiye sahip olmadan güvenlik zafiyetlerini kolayca istismar edebilen "sıradan hacker'ların" neredeyse şov yapmalarına olanak sağladığını söylüyorlar.

Yazılım sektörünün, SQL Injection gibi hiçbir teknik bilgiye sahip olmayan amatörlerin dahi yapabileceği saldırıları azaltacak önlemleri almayı bile becerememesinin, genel internet güvenliğini tehlikeye attığı belirtiliyor. Firma yetkilileri, 2013'de yapılacak üç veri ihlali saldırısından birinin SQL injection saldırısı olacağını tahmin ediyor.

Veracode kurucu başkanı Chris Wysopal, kendilerine yapılan 22.430 değerlendirme başvurusunun yüzde 32'sinde SQL injection, yüzde 67'sindeyse cross site scripting tehlikesi tespit ettiklerini açıkladı. Eskiden, yazılım firmalarının yıllar geçtikçe kod güvenliği konusunda daha bilinçli hale geleceklerini umduklarını belirten Wysopal, gelinen noktanın bunun tam tersinin gerçekleşmekte olduğunu gösterdiğini söylüyor.

Ender Duman

Okuyucu Yorumları

Toplam 7 Yorum

bakalım wp bizim için napacak?

:) e-ticaret sitelerine SQL programları ile küçük bir güvenlik turu yapın ve burda yazılanın tamamının gerçek olduğunu farkedin.Küçümsenecek bir şey değil. Bu hataları dev Web yazılım firmaları bile yapıyor.

SQL Injection ile XSS'ide herkes biliyordu sanki, hiçbir teknik bilgiye sahip olmadan diye söylenmesi saçma olmuş. SQL Injection için SQL bilmek şart, daha ileriye götürmek istersende SQL bayağı hakim olmak lazım. XSS içinde javascript ve dinamik bir web sayfası. Ayrıca bunu kaydedecek bir hosting lazım. Ha şuda bir gerçek ortada web programcısıyım diye gezen çok ama bunlardan bir haber gezenlerin sayısıda en az %80'dir.

@01 May 2013 00:43 Kimsenin hic birsey bilmesine gerek yok. sql injection cheat sheet diye arat direk yapabileceklerinin listesini bul. Millet hala aptal gibi querystringlerle sql komut satirlari üretiyor. Ne dogrulama var ne harf degistirme ordan al buraya yapistir falan. ondan sonra güvenlik yok.

biraz metasploit araştıran backtrack ya da kali kurar ve denemelere başlar bu kaçınılmaz

Windows platformu icin uygulama gelistirien herkesin Entity Framework kullanmasi sart bence hem performans hem de güvenlik icin en iyi cözüm olur.

Vakit nakittir denilen bir devirde olmasında şaşırılmayacak bir durum. Az zamanda çok iş hayaline kapılıp açgözlülük krizlerine giren firmaların çalışanlarına aşırı yüklenmesi sonucu işin kaypak yapılması problemi, ya da ülkemizde moda olan üç kuruşa teknik eleman çalıştırayım mantığının getirdiği nokta.

Sen de yorum yaz

 


CHIP'i Takip edin
E-Posta listemize katılın
CHIP Dergi Mobil Cihazınızda

İlginizi çekebilir