[Owasp-turkey] SQL Injection gibi Code Injection?

Ferruh Mavituna ferruh at mavituna.com
Wed Sep 5 02:13:06 EDT 2007


O sekilde olamaz, cunku bu ornekte mesela ASP gonderdiginiz girdiyi girdi
olarak kabul ediyor kod parcasi olarak degil. Dolayisiyla gonderdiginiz kod
hic bir zaman calismayacak. SQL Serverda calismasinin nedeni ise SQL Server
in gelen tum herseyi islemeye calismasi. Iste bu yuzden zaten en iyi korunma
yontemi parameterized query'ler o sekilde olunca ayni ASP gibi SQL server
neyin parametre neyin islenecek kod oldugunu secebiliyor.

Ancak mesela ASP' de kodda eval() veya execute() varsa ve bu disaridan deger
aliyorsa o zaman olabilir.

On 03/09/07, selim <mizika at gmail.com> wrote:
>
> Merhaba,
>
> merak ettiğim birşey var:
> SQL injection saldırılarında sql satırını bir şekilde kırıp sayfanın içine
> kendi yazdığımız kodu ekleyebilir miyiz?
>
> yani;
> SELECT * FROM Members WHERE username = '' OR ''='' AND password = '' OR
> ''=''
> gibi bi sql kodunun bulunduğu bir login formu için,
> username input una ' OR ''=' yazdıktan sonra " ile sql cümlesini kapayıp :ile bir sonraki satıra geçmiş gibi kod yazılabilir mi?
> tabi başka dil bilmediğim için ASP için konuşuyorum.
> mesela bir sonraki satıra  geçtikten sonra
> Session("login") = "admin"
> gibi birşey diyip ' ile login formunun şifre kısmından gelicek olan kod
> görmezden gelinir.
>
> SQL injection hakkında ki bilgisi ortada olduğu için bu mesajı önce
> Ferruh'a yolladım.
> denemeden önce ona sormak istedim.
>
> iyi günler...
>



-- 
Ferruh Mavituna
http://ferruh.mavituna.com
-------------- next part --------------
An HTML attachment was scrubbed...
URL: https://lists.owasp.org/pipermail/owasp-turkey/attachments/20070905/b34e47bf/attachment.html 


More information about the Owasp-turkey mailing list