[Owasp-turkey] DoS attacks using SQL Wildcards

Deniz CEVIK denizcev at gmail.com
Tue May 20 07:36:18 EDT 2008


Yazıyı henüz okuyamadım ama başarılı bir çalışma olduğuna eminim. Sql
injection kullanılarak DoS, saldırı tekniği açısından oldukça etkin
bir teknik. Tek bir istek ile sunucuyu tamamen cevap veremez duruma
getirmek mümkün olabiliyor. Örneğin uygulama.asp?id=1 or 1=1 veya ' or
''=' gibi bir istek sorguya bağlı olarak tüm kayıtların görüntülenmeye
çalışılmasına neden olabilir. ilgili sorguya uyan yüzbinlerce kayıt
olan bir sistemde basit bir istek rahatlıkla sistemlerin ve
servislerin hizmet dışı kalmasına yol açabilir.

Aslında bunları testlerimize eklemek iyi bir fikir olmayabilir.
Sunucunun cevap vermez duruma gelmesine neden olabiliriz. :)

İyi Çalışmalar.

2008/5/19 Ferruh Mavituna <ferruh at mavituna.com>:
> Herkese Selamlar,
>
> Bir sure once uzerinde calistigim yazimi bitirdim ve yayinlayabildim, burada
> da hem paylasmak hem de konu hakkinda fikir almak istedim.
>
> Ozetle veritabanina sahip web uygulamalarin arama sayfalari ve benzer
> sayfalari kullanarak DoS saldirilari yapmanin yeni bir yolunu gosteriyor.
> Kritik nokta su ki inanilmaz sayida web uygulamasi bundan etkileniyor,
> dolayisiyla gelsitiricilerin ozellikle bir an once buna karsi onlem almali
> gerekli.
>
> Ikinci olarak penetration test yapan arkadaslarin da bu saldiriyi test
> metodolojilerine eklemeleri yerinde olacaktir. Insallah uzun vadede OWASP
> Guide da bu konuda bir seyler ekleyebiliriz.
>
> Maalesef henuz Turkcesi yok, yazi suradan download edilebilir:
>
> http://www.portcullis-security.com/uplds/wildcard_attacks.pdf
>
>
>
> Iyi Calismalar,
>
> --
> Ferruh Mavituna
> http://ferruh.mavituna.com
> _______________________________________________
> Owasp-turkey mailing list
> Owasp-turkey at lists.owasp.org
> https://lists.owasp.org/mailman/listinfo/owasp-turkey
>
>


More information about the Owasp-turkey mailing list