<html>
<head>
<style>
.hmmessage P
{
margin:0px;
padding:0px
}
body.hmmessage
{
FONT-SIZE: 10pt;
FONT-FAMILY:Tahoma
}
</style>
</head>
<body class='hmmessage'>
Aslinda makaledeki kasit injection kullanarak DoS yapmak degil de, daha cok SQL Wildcard'lari kullanarak DoS yapmak. Nitekim SQL Injection var ve DoS SQL Injection'dan kaynaklaniyorsa, DoS'u kaale almaya pek gerek yok :) (Makalenin sonlarina dogru oyle bir baslik da olacakti ama)<br><br><div></div><font color="#0033ff">Mesut TİMUR <br><a href="http://mail2web.com/cgi-bin/redir.asp?lid=0&amp;newsite=http://www.h-labs.org" target="_blank"><u><font color="#0000ff">http://www.h-labs.org</font></u></a> <br>GYTE Bilgisayar Mühendisliği</font><br><br><br>&gt; Date: Tue, 20 May 2008 13:36:18 +0200<br>&gt; From: denizcev@gmail.com<br>&gt; To: ferruh@mavituna.com<br>&gt; CC: owasp-turkey@lists.owasp.org<br>&gt; Subject: Re: [Owasp-turkey] DoS attacks using SQL Wildcards<br>&gt; <br>&gt; Yazıyı henüz okuyamadım ama başarılı bir çalışma olduğuna eminim. Sql<br>&gt; injection kullanılarak DoS, saldırı tekniği açısından oldukça etkin<br>&gt; bir teknik. Tek bir istek ile sunucuyu tamamen cevap veremez duruma<br>&gt; getirmek mümkün olabiliyor. Örneğin uygulama.asp?id=1 or 1=1 veya ' or<br>&gt; ''=' gibi bir istek sorguya bağlı olarak tüm kayıtların görüntülenmeye<br>&gt; çalışılmasına neden olabilir. ilgili sorguya uyan yüzbinlerce kayıt<br>&gt; olan bir sistemde basit bir istek rahatlıkla sistemlerin ve<br>&gt; servislerin hizmet dışı kalmasına yol açabilir.<br>&gt; <br>&gt; Aslında bunları testlerimize eklemek iyi bir fikir olmayabilir.<br>&gt; Sunucunun cevap vermez duruma gelmesine neden olabiliriz. :)<br>&gt; <br>&gt; İyi Çalışmalar.<br>&gt; <br>&gt; 2008/5/19 Ferruh Mavituna &lt;ferruh@mavituna.com&gt;:<br>&gt; &gt; Herkese Selamlar,<br>&gt; &gt;<br>&gt; &gt; Bir sure once uzerinde calistigim yazimi bitirdim ve yayinlayabildim, burada<br>&gt; &gt; da hem paylasmak hem de konu hakkinda fikir almak istedim.<br>&gt; &gt;<br>&gt; &gt; Ozetle veritabanina sahip web uygulamalarin arama sayfalari ve benzer<br>&gt; &gt; sayfalari kullanarak DoS saldirilari yapmanin yeni bir yolunu gosteriyor.<br>&gt; &gt; Kritik nokta su ki inanilmaz sayida web uygulamasi bundan etkileniyor,<br>&gt; &gt; dolayisiyla gelsitiricilerin ozellikle bir an once buna karsi onlem almali<br>&gt; &gt; gerekli.<br>&gt; &gt;<br>&gt; &gt; Ikinci olarak penetration test yapan arkadaslarin da bu saldiriyi test<br>&gt; &gt; metodolojilerine eklemeleri yerinde olacaktir. Insallah uzun vadede OWASP<br>&gt; &gt; Guide da bu konuda bir seyler ekleyebiliriz.<br>&gt; &gt;<br>&gt; &gt; Maalesef henuz Turkcesi yok, yazi suradan download edilebilir:<br>&gt; &gt;<br>&gt; &gt; http://www.portcullis-security.com/uplds/wildcard_attacks.pdf<br>&gt; &gt;<br>&gt; &gt;<br>&gt; &gt;<br>&gt; &gt; Iyi Calismalar,<br>&gt; &gt;<br>&gt; &gt; --<br>&gt; &gt; Ferruh Mavituna<br>&gt; &gt; http://ferruh.mavituna.com<br>&gt; &gt; _______________________________________________<br>&gt; &gt; Owasp-turkey mailing list<br>&gt; &gt; Owasp-turkey@lists.owasp.org<br>&gt; &gt; https://lists.owasp.org/mailman/listinfo/owasp-turkey<br>&gt; &gt;<br>&gt; &gt;<br>&gt; _______________________________________________<br>&gt; Owasp-turkey mailing list<br>&gt; Owasp-turkey@lists.owasp.org<br>&gt; https://lists.owasp.org/mailman/listinfo/owasp-turkey<br><br /><hr />Keep your kids safer online with Windows Live Family Safety. <a href='http://www.windowslive.com/family_safety/overview.html?ocid=TXT_TAGLM_WL_Refresh_family_safety_052008' target='_new'>Help protect your kids.</a></body>
</html>