[Owasp-turkey] SQL Injection gibi Code Injection?

Bedirhan Urgun urgunb at hotmail.com
Wed Sep 5 04:27:52 EDT 2007


 
 code injection, javascript icin de mumkun olabilir. ama bu sefer de sql injection icin anlamli bi taban bulmak zor.
 
 Javascript, ASP/PHP gibi interpreted (yorumlanan) bi dil ama aradaki fark javascript kodunun sunucudan istemciye gonderilmesi ve sunucuda degil istemcide yorumlanmasi. Yani verdiginiz girdi, sunucudan istemciye gonderilen javascript kodunun degismesine yola aciyorsa iste kod enjeksiyonu saglayabilirsiniz, ama istemci tarafinda. Istemci tarafinda da sql enjeksiyonu uzak bi ihtimal.


Date: Wed, 5 Sep 2007 07:13:06 +0100From: ferruh at mavituna.comTo: mizika at gmail.comCC: owasp-turkey at lists.owasp.orgSubject: Re: [Owasp-turkey] SQL Injection gibi Code Injection?O sekilde olamaz, cunku bu ornekte mesela ASP gonderdiginiz girdiyi girdi olarak kabul ediyor kod parcasi olarak degil. Dolayisiyla gonderdiginiz kod hic bir zaman calismayacak. SQL Serverda calismasinin nedeni ise SQL Server in gelen tum herseyi islemeye calismasi. Iste bu yuzden zaten en iyi korunma yontemi parameterized query'ler o sekilde olunca ayni ASP gibi SQL server neyin parametre neyin islenecek kod oldugunu secebiliyor. Ancak mesela ASP' de kodda eval() veya execute() varsa ve bu disaridan deger aliyorsa o zaman olabilir.
On 03/09/07, selim < mizika at gmail.com> wrote: 
Merhaba,merak ettiğim birşey var:SQL injection saldırılarında sql satırını bir şekilde kırıp sayfanın içine kendi yazdığımız kodu ekleyebilir miyiz?yani;SELECT * FROM Members WHERE username = '' OR ''='' AND password = '' OR ''=''gibi bi sql kodunun bulunduğu bir login formu için,username input una ' OR ''=' yazdıktan sonra " ile sql cümlesini kapayıp : ile bir sonraki satıra geçmiş gibi kod yazılabilir mi? tabi başka dil bilmediğim için ASP için konuşuyorum.mesela bir sonraki satıra  geçtikten sonraSession("login") = "admin"gibi birşey diyip ' ile login formunun şifre kısmından gelicek olan kod görmezden gelinir.SQL injection hakkında ki bilgisi ortada olduğu için bu mesajı önce Ferruh'a yolladım.denemeden önce ona sormak istedim.iyi günler...-- Ferruh Mavitunahttp://ferruh.mavituna.com 
_________________________________________________________________
Explore the seven wonders of the world
http://search.msn.com/results.aspx?q=7+wonders+world&mkt=en-US&form=QBRE
-------------- next part --------------
An HTML attachment was scrubbed...
URL: https://lists.owasp.org/pipermail/owasp-turkey/attachments/20070905/ea341634/attachment.html 


More information about the Owasp-turkey mailing list