Evet makalede kisaca eger SQL Injection varsa neler yapilabilcegine degindim ama o kadar cok yapilabilecek sey var ki mesela DROP members :) Super bir DoS atagi!<br><br><br><blockquote style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;" class="gmail_quote">

Aslında bunları testlerimize eklemek iyi bir fikir olmayabilir.<br></blockquote><blockquote style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;" class="gmail_quote">
Sunucunun cevap vermez duruma gelmesine neden olabiliriz. :)</blockquote><div><br>:) Buradaki teknikte bundan pek korkmaya gerek yok cunku hemen hemen hic bir sunucu bir defa bunu denemekten cokmeyecektir. Dolayiysiyla 2-3 istek yapilip cevap suresu tespit edilebilir. Dolayisiyla production sistemlerinde test etmekte bence sakinca yok. <br>
</div><br><div class="gmail_quote">2008/5/20 Mesut Timur &lt;<a href="mailto:mesut@h-labs.org">mesut@h-labs.org</a>&gt;:<br><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">




<div>
Aslinda makaledeki kasit injection kullanarak DoS yapmak degil de, daha cok SQL Wildcard&#39;lari kullanarak DoS yapmak. Nitekim SQL Injection var ve DoS SQL Injection&#39;dan kaynaklaniyorsa, DoS&#39;u kaale almaya pek gerek yok :) (Makalenin sonlarina dogru oyle bir baslik da olacakti ama)<br>
<br><div></div><font color="#0033ff">Mesut TİMUR <br><a href="http://mail2web.com/cgi-bin/redir.asp?lid=0&amp;newsite=http://www.h-labs.org" target="_blank"><u><font color="#0000ff">http://www.h-labs.org</font></u></a> <br>
GYTE Bilgisayar Mühendisliği</font><br><br><br>&gt; Date: Tue, 20 May 2008 13:36:18 +0200<br>&gt; From: <a href="mailto:denizcev@gmail.com" target="_blank">denizcev@gmail.com</a><br>&gt; To: <a href="mailto:ferruh@mavituna.com" target="_blank">ferruh@mavituna.com</a><br>
&gt; CC: <a href="mailto:owasp-turkey@lists.owasp.org" target="_blank">owasp-turkey@lists.owasp.org</a><br>&gt; Subject: Re: [Owasp-turkey] DoS attacks using SQL Wildcards<div><div></div><div class="Wj3C7c"><br>&gt; <br>&gt; Yazıyı henüz okuyamadım ama başarılı bir çalışma olduğuna eminim. Sql<br>
&gt; injection kullanılarak DoS, saldırı tekniği açısından oldukça etkin<br>&gt; bir teknik. Tek bir istek ile sunucuyu tamamen cevap veremez duruma<br>&gt; getirmek mümkün olabiliyor. Örneğin uygulama.asp?id=1 or 1=1 veya &#39; or<br>
&gt; &#39;&#39;=&#39; gibi bir istek sorguya bağlı olarak tüm kayıtların görüntülenmeye<br>&gt; çalışılmasına neden olabilir. ilgili sorguya uyan yüzbinlerce kayıt<br>&gt; olan bir sistemde basit bir istek rahatlıkla sistemlerin ve<br>
&gt; servislerin hizmet dışı kalmasına yol açabilir.<br>&gt; <br>&gt; Aslında bunları testlerimize eklemek iyi bir fikir olmayabilir.<br>&gt; Sunucunun cevap vermez duruma gelmesine neden olabiliriz. :)<br>&gt; <br>&gt; İyi Çalışmalar.<br>
&gt; <br>&gt; 2008/5/19 Ferruh Mavituna &lt;<a href="mailto:ferruh@mavituna.com" target="_blank">ferruh@mavituna.com</a>&gt;:<br>&gt; &gt; Herkese Selamlar,<br>&gt; &gt;<br>&gt; &gt; Bir sure once uzerinde calistigim yazimi bitirdim ve yayinlayabildim, burada<br>
&gt; &gt; da hem paylasmak hem de konu hakkinda fikir almak istedim.<br>&gt; &gt;<br>&gt; &gt; Ozetle veritabanina sahip web uygulamalarin arama sayfalari ve benzer<br>&gt; &gt; sayfalari kullanarak DoS saldirilari yapmanin yeni bir yolunu gosteriyor.<br>
&gt; &gt; Kritik nokta su ki inanilmaz sayida web uygulamasi bundan etkileniyor,<br>&gt; &gt; dolayisiyla gelsitiricilerin ozellikle bir an once buna karsi onlem almali<br>&gt; &gt; gerekli.<br>&gt; &gt;<br>&gt; &gt; Ikinci olarak penetration test yapan arkadaslarin da bu saldiriyi test<br>
&gt; &gt; metodolojilerine eklemeleri yerinde olacaktir. Insallah uzun vadede OWASP<br>&gt; &gt; Guide da bu konuda bir seyler ekleyebiliriz.<br>&gt; &gt;<br>&gt; &gt; Maalesef henuz Turkcesi yok, yazi suradan download edilebilir:<br>
&gt; &gt;<br>&gt; &gt; <a href="http://www.portcullis-security.com/uplds/wildcard_attacks.pdf" target="_blank">http://www.portcullis-security.com/uplds/wildcard_attacks.pdf</a><br>&gt; &gt;<br>&gt; &gt;<br>&gt; &gt;<br>&gt; &gt; Iyi Calismalar,<br>
&gt; &gt;<br>&gt; &gt; --<br>&gt; &gt; Ferruh Mavituna<br>&gt; &gt; <a href="http://ferruh.mavituna.com" target="_blank">http://ferruh.mavituna.com</a><br>&gt; &gt; _______________________________________________<br>&gt; &gt; Owasp-turkey mailing list<br>
&gt; &gt; <a href="mailto:Owasp-turkey@lists.owasp.org" target="_blank">Owasp-turkey@lists.owasp.org</a><br>&gt; &gt; <a href="https://lists.owasp.org/mailman/listinfo/owasp-turkey" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-turkey</a><br>
&gt; &gt;<br>&gt; &gt;<br>&gt; _______________________________________________<br>&gt; Owasp-turkey mailing list<br>&gt; <a href="mailto:Owasp-turkey@lists.owasp.org" target="_blank">Owasp-turkey@lists.owasp.org</a><br>&gt; <a href="https://lists.owasp.org/mailman/listinfo/owasp-turkey" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-turkey</a><br>
<br></div></div><hr>Keep your kids safer online with Windows Live Family Safety. <a href="http://www.windowslive.com/family_safety/overview.html?ocid=TXT_TAGLM_WL_Refresh_family_safety_052008" target="_blank">Help protect your kids.</a></div>

</blockquote></div><br><br clear="all"><br>-- <br>Ferruh Mavituna<br><a href="http://ferruh.mavituna.com">http://ferruh.mavituna.com</a>