[Owasp-turkey] [Yeni Yöntem - Beta] Tek karakter için Sadece 2 İstekle blind sql injection

Onur YILMAZ contact at onuryilmaz.info
Thu Jun 3 04:17:48 EDT 2010


Bunyamin Demir'in istifa etmesi lazım.

03.06.2010 11:14, Fatih cyc yazmış:
> _Rıdwon yorumu:_ İlk yarı takımlar 6 ya 7 kişi idi. İkinci yarı oyuncu 
> sayısı 6-6 oldu. Buna rağmen 3 sayı farkla yenildik. Ayrıca hakem de 
> çok kötüydü :p
>
>
> 03 Haziran 2010 10:37 tarihinde Halil OZTURKCI (ADEO) 
> <halil.ozturkci at adeo.com.tr <mailto:halil.ozturkci at adeo.com.tr>> yazdı:
>
>     Futbol demisken nerde fotograflar:) Aslinda hata bizde yenilen
>     takimin oyuncularina fotograf cektirirsen olacagi bu:))
>
>     Sent from my iPhone
>
>     On 03.Haz.2010, at 09:58, "Bedirhan Urgun"
>     <bedirhanurgun at gmail.com <mailto:bedirhanurgun at gmail.com>> wrote:
>
>>     bisey eklemeyi unutmusum, tebrik ederim. bsql teknigin futbol
>>     teknigin kadar iyiymis. :)
>>
>>     03 Haziran 2010 09:52 tarihinde Bedirhan Urgun
>>     <bedirhanurgun at gmail.com <mailto:bedirhanurgun at gmail.com>> yazdı:
>>
>>         biraz arama yaptim ve bu teknige rastlamadim. gerci bunu
>>         anlamanin tek yolu diger mail listelerine gondermek. varsa
>>         hemen atlarlar, su su daha once yapmisti diye (ingilizce
>>         konusunda elimden geldigince yardimci olabilirim).
>>         isin guzel tarafi sadece mysql degil sleep fonksiyonu olan
>>         diger veritabanlarina da uygulanabilir. extra bir istekle de
>>         0-9 araligi da cozulebilir.
>>
>>         03 Haziran 2010 01:03 tarihinde Canberk BOLAT
>>         <canberk.bolat at gmail.com <mailto:canberk.bolat at gmail.com>> yazdı:
>>
>>             Öncelikle tüm OWASP-TR mail grubu takipçilerine iyi
>>             geceler dilerim :)
>>             Zaman tabanlı blind sql injection açıklıklarında tek bir
>>             karakter için
>>             sadece 2 istek yaparak sonuca ulaşılabilecek bir yöntem
>>             keşfettim,
>>             bununla ilgili açıklayıcı bir yazı (rapor, makale ne
>>             derseniz artık
>>             buna) hazırladım, PDF dosyası ekte, görüşleriniz,
>>             önerileriniz,
>>             eleştirileriniz vs.. benim çok çok önemli olacak bu
>>             nedenle konuyla
>>             ilgilenenlerden bir değerlendirme bekliyorum. Aramızdaki
>>             matematikçi
>>             abilerimizde fikirleriyle yardımcı olursa sevinirim :)))
>>
>>             Kısaca bir özet geçeyim; şuan için beta bir yöntem
>>             diyebilirm ve
>>             sadece 97-122 yani a-z aralığındaki harfler için "kararlı"
>>             çalışabiliyor, genel amaç karakterin ascii karşılığını
>>             binary search
>>             ile test etmek yerine bu rakamsal ascii karşılığı MOD()
>>             ve SLEEP()
>>             fonksiyonlarında kullanarak bazı "sinyaller" yakalayarak
>>             sonuca
>>             minimum istekte ulaşmaya çalışmaktı. Şuan için yani a-z
>>             aralığındaki
>>             karakterler için başarılı ve her bir karakter için sadece
>>             2 istek
>>             yaparak sonuca ulaşabiliyorum.
>>
>>             Detayları pdf'ten okuyabilirsiniz :)
>>
>>             Herkese iyi geceler..
>>
>>             Saygılar,
>>             cb
>>
>>             --
>>             Canberk BOLAT
>>             http://hc0de.blogspot.com <http://hc0de.blogspot.com/>
>>             http://twitter.com/hc0de
>>
>>             _______________________________________________
>>             Owasp-turkey mailing list
>>             Owasp-turkey at lists.owasp.org
>>             <mailto:Owasp-turkey at lists.owasp.org>
>>             https://lists.owasp.org/mailman/listinfo/owasp-turkey
>>
>>
>>
>>
>>         -- 
>>         Bedirhan Urgun
>>         http://www.webguvenligi.org <http://www.webguvenligi.org/>
>>         http://www.owasp.org/index.php/Turkey
>>
>>         Türkçe Web Uygulama Güvenliği E-Posta Listesine üye olmak için:
>>         https://lists.owasp.org/mailman/listinfo/owasp-turkey
>>
>>
>>
>>
>>     -- 
>>     Bedirhan Urgun
>>     http://www.webguvenligi.org <http://www.webguvenligi.org/>
>>     http://www.owasp.org/index.php/Turkey
>>
>>     Türkçe Web Uygulama Güvenliği E-Posta Listesine üye olmak için:
>>     https://lists.owasp.org/mailman/listinfo/owasp-turkey
>>     _______________________________________________
>>     Owasp-turkey mailing list
>>     Owasp-turkey at lists.owasp.org <mailto:Owasp-turkey at lists.owasp.org>
>>     https://lists.owasp.org/mailman/listinfo/owasp-turkey
>
>     _______________________________________________
>     Owasp-turkey mailing list
>     Owasp-turkey at lists.owasp.org <mailto:Owasp-turkey at lists.owasp.org>
>     https://lists.owasp.org/mailman/listinfo/owasp-turkey
>
>
>
> _______________________________________________
> Owasp-turkey mailing list
> Owasp-turkey at lists.owasp.org
> https://lists.owasp.org/mailman/listinfo/owasp-turkey
>    


-- 
Onur YILMAZ
onuryilmaz.info

-------------- sonraki bölüm --------------
Bir HTML eklentisi temizlendi...
URL: https://lists.owasp.org/pipermail/owasp-turkey/attachments/20100603/902b30b2/attachment-0001.html 


More information about the Owasp-turkey mailing list