Sizce SQL İnjection Devri Bitti mi?

Butcherb3y

Butcherb3y

Uzman üye
1 Eyl 2022
1,617
1,199
Anıtkabir
Evet soru başlıktaki gibidir. Önce kendi görüşümü öne süreyim.

Benim görüşüm; Açıkçası SQL bitmedi zaten halada çeşitli .edu .gov .org gibi yerlerde görebiliyoruz
özellikle bazı ülkelerin neredeyse her .edu .gov sitelerinde var benim açımdan SQL İnjection
sayesinde siteye girip index atmak değilde SQL İnjectionu siteden çeşitli kullanıcı verileri olsun başka
veriler olsun yani veri çekmek için kullanmak daha çok mantıklı geliyor.

Gelelim sizin görüşlerinize, hadi aşağı.
 
connec

connec

Anka Team Junior
5 Nis 2022
1,110
1,066
SQL Injection gerçekten çok riskli bir açık. Aynı zamanda çok eski bir açık. Bu sebeple gelişmiş ülkelerin güncel sitelerinde bulunması imkansıza yakın. Dediğin .edu .gov siteleri de genelde afrika ülkeleri veya geri kalmış asya ülkelerinin siteleri oluyor. Bu sitelere de index atıp paylaşmak bence gerçekten boş bir iş.
 
The VODKA

The VODKA

Uzman üye
8 Haz 2022
1,331
920
Butcherb3y' Alıntı:
Evet soru başlıktaki gibidir. Önce kendi görüşümü öne süreyim.

Benim görüşüm; Açıkçası SQL bitmedi zaten halada çeşitli .edu .gov .org gibi yerlerde görebiliyoruz
özellikle bazı ülkelerin neredeyse her .edu .gov sitelerinde var benim açımdan SQL İnjection
sayesinde siteye girip index atmak değilde SQL İnjectionu siteden çeşitli kullanıcı verileri olsun başka
veriler olsun yani veri çekmek için kullanmak daha çok mantıklı geliyor.

Gelelim sizin görüşlerinize, hadi aşağı.
Genişletmek için tıkla ...

Genellikle SQL Acıklı siteler eski altyapıya sahip ve adam akıllı bakım yapılamayan siteler oluyor. Eski zamanlardan günümüze birçok site bu yüzden hackleniyor ve kimileride açıklarını bu sayede kapatıyor. Çağ değiştikçe eski yazılımların yerini son sürüm, yüksek güvenlikli yazılımlar almaya başlatıyor. Şu an itibariyle SQL zaafiyetli sitelerin devrinin bittiğini söylemem ancak bundan belki bi 8-10 sene sonra iki elimin parmağını geçemeyebilirler. Ayakta kalanlar ancak admin paneli bulunmayan, şifresi kırılamayan ve internette boş boş yer kaplayan siteler olur. SQL açığı nasıl bir zamanların favori açığı olduysa bundan 8-10 sene sonrada en zor dediğimiz güvenlik açıkları en favori açıklarımız olacak. Çünkü sistem otomatik olarak buraya evrilecek. Nasıl SQLMAP şak diye sonucu ekrana basıyorsa o zamanlarda da Yapay Zeka destekli hacking tooları çıkacak ve web siteleri üzerinde gerçek bir kullanıcı gibi düşünerek manual zaafiyet taraması yapacak, belki siteye sızacak ve istediğimiz talimat doğrultusunda Shell upload edecek ve al kardeşim işlem tamam diyerek bize verecek. Zaman gün geçtikçe dahada tehlikeli bir hale geliyor.

Anlayacağın SQL Zaafiyeti her gün değerini bir tık daha kaybediyor ve birgün her maddenin, canlının sonu olduğu gibi o da ölecek. Her ölenle ölünmediği gibi onun yerini dolduracak birileride olacaktır. Şimdiden kendimizi onlara yöneltmek en mantıklı karar olacaktır.
 
UmutSuzDum

UmutSuzDum

Katılımcı Üye
1 Ara 2018
641
155
Yeni Zelanda
The VODKA' Alıntı:
Genellikle SQL Acıklı siteler eski altyapıya sahip ve adam akıllı bakım yapılamayan siteler oluyor. Eski zamanlardan günümüze birçok site bu yüzden hackleniyor ve kimileride açıklarını bu sayede kapatıyor. Çağ değiştikçe eski yazılımların yerini son sürüm, yüksek güvenlikli yazılımlar almaya başlatıyor. Şu an itibariyle SQL zaafiyetli sitelerin devrinin bittiğini söylemem ancak bundan belki bi 8-10 sene sonra iki elimin parmağını geçemeyebilirler. Ayakta kalanlar ancak admin paneli bulunmayan, şifresi kırılamayan ve internette boş boş yer kaplayan siteler olur. SQL açığı nasıl bir zamanların favori açığı olduysa bundan 8-10 sene sonrada en zor dediğimiz güvenlik açıkları en favori açıklarımız olacak. Çünkü sistem otomatik olarak buraya evrilecek. Nasıl SQLMAP şak diye sonucu ekrana basıyorsa o zamanlarda da Yapay Zeka destekli hacking tooları çıkacak ve web siteleri üzerinde gerçek bir kullanıcı gibi düşünerek manual zaafiyet taraması yapacak, belki siteye sızacak ve istediğimiz talimat doğrultusunda Shell upload edecek ve al kardeşim işlem tamam diyerek bize verecek. Zaman gün geçtikçe dahada tehlikeli bir hale geliyor.

Anlayacağın SQL Zaafiyeti her gün değerini bir tık daha kaybediyor ve birgün her maddenin, canlının sonu olduğu gibi o da ölecek. Her ölenle ölünmediği gibi onun yerini dolduracak birileride olacaktır. Şimdiden kendimizi onlara yöneltmek en mantıklı karar olacaktır.
Genişletmek için tıkla ...
ai vs ai
 
Butcherb3y

Butcherb3y

Uzman üye
1 Eyl 2022
1,617
1,199
Anıtkabir
connec' Alıntı:
SQL Injection gerçekten çok riskli bir açık. Aynı zamanda çok eski bir açık. Bu sebeple gelişmiş ülkelerin güncel sitelerinde bulunması imkansıza yakın. Dediğin .edu .gov siteleri de genelde afrika ülkeleri veya geri kalmış asya ülkelerinin siteleri oluyor. Bu sitelere de index atıp paylaşmak bence gerçekten boş bir iş.
Genişletmek için tıkla ...
doğrudur teşekkürler ama dorklar ilede güzel ülkelerin sitelerinde bulunabiliyor gov edu da oluyor org da

The VODKA' Alıntı:
Genellikle SQL Acıklı siteler eski altyapıya sahip ve adam akıllı bakım yapılamayan siteler oluyor. Eski zamanlardan günümüze birçok site bu yüzden hackleniyor ve kimileride açıklarını bu sayede kapatıyor. Çağ değiştikçe eski yazılımların yerini son sürüm, yüksek güvenlikli yazılımlar almaya başlatıyor. Şu an itibariyle SQL zaafiyetli sitelerin devrinin bittiğini söylemem ancak bundan belki bi 8-10 sene sonra iki elimin parmağını geçemeyebilirler. Ayakta kalanlar ancak admin paneli bulunmayan, şifresi kırılamayan ve internette boş boş yer kaplayan siteler olur. SQL açığı nasıl bir zamanların favori açığı olduysa bundan 8-10 sene sonrada en zor dediğimiz güvenlik açıkları en favori açıklarımız olacak. Çünkü sistem otomatik olarak buraya evrilecek. Nasıl SQLMAP şak diye sonucu ekrana basıyorsa o zamanlarda da Yapay Zeka destekli hacking tooları çıkacak ve web siteleri üzerinde gerçek bir kullanıcı gibi düşünerek manual zaafiyet taraması yapacak, belki siteye sızacak ve istediğimiz talimat doğrultusunda Shell upload edecek ve al kardeşim işlem tamam diyerek bize verecek. Zaman gün geçtikçe dahada tehlikeli bir hale geliyor.

Anlayacağın SQL Zaafiyeti her gün değerini bir tık daha kaybediyor ve birgün her maddenin, canlının sonu olduğu gibi o da ölecek. Her ölenle ölünmediği gibi onun yerini dolduracak birileride olacaktır. Şimdiden kendimizi onlara yöneltmek en mantıklı karar olacaktır.
Genişletmek için tıkla ...
peki hangi açıklar üzerinden gidilmeli owasp top 10 fln
 
Butcherb3y

Butcherb3y

Uzman üye
1 Eyl 2022
1,617
1,199
Anıtkabir
UmutSuzDum' Alıntı:
kritik açık istiyosan owasp dışında wordpress pluginleerde rce arbitrary file uploadlar oluyor genelde geliştiricilerin yaptıkları pluginlerde kullanan 5 6 bin site oluyor hepsine zank indexi bi basıyosun tadından yenmiyo
Genişletmek için tıkla ...
dediğiniz yöntemi tam olarak ne diye aratarak fikir sahibi nasıl yapılr gibi konulara ulaşabilirim veya konu linki varsa atarmısınız
 
T

tamam ağa

Uzman üye
7 Haz 2023
1,534
877
Butcherb3y' Alıntı:
Evet soru başlıktaki gibidir. Önce kendi görüşümü öne süreyim.

Benim görüşüm; Açıkçası SQL bitmedi zaten halada çeşitli .edu .gov .org gibi yerlerde görebiliyoruz
özellikle bazı ülkelerin neredeyse her .edu .gov sitelerinde var benim açımdan SQL İnjection
sayesinde siteye girip index atmak değilde SQL İnjectionu siteden çeşitli kullanıcı verileri olsun başka
veriler olsun yani veri çekmek için kullanmak daha çok mantıklı geliyor.

Gelelim sizin görüşlerinize, hadi aşağı.
Genişletmek için tıkla ...
Sql injectiondan ne anlıyorsun? Sql komutlarını enjekte etmek değil mi? Bunun sonlanması için önce SQL in sona ermesi gerekmiyor mu?

Sadece zorlaştı bu hepsi bu kadar.
 
Butcherb3y

Butcherb3y

Uzman üye
1 Eyl 2022
1,617
1,199
Anıtkabir
tamam ağa' Alıntı:
Halen var sen bulamıyorsun sadece.
Daha doğrusu geleneksel yöntemler artık işe yaramıyor daha spesifik teknikler bulman lazım.
Genişletmek için tıkla ...
Kanka ben bulamıyorum diye bişi belirtmedim konuyu farklı yerlere çekiyorsun SQL boş artık yok vb gibi söylemler duydum bunun hakkında da foruma sormak istedim ama sen baya farklı yerlere çektin sen bulamiyon falan soruda ben bulamıyoruma dair kelime bile yok
 
N S

N S

Uzman üye
19 Haz 2013
1,139
208
ORM araçları yaygınlaştığı için artık kolay kolay sql açığı yaratmak çok mümkün değil sql injection tamamen beceriksiz yazılımcı açığı
 
freebsd

freebsd

Üye
24 Nis 2020
118
54
1- RCE varken niye SQLi a bakayım? Daha kolay falan diye mi? Bu soruyu sormak lazım biraz da. Edu veya gov websitelerde bile yine aynı durum geçerli, direkt sistemi hacklemek varken niye veritabanıyla uğraşayım. SQLi nin geçerli olduğu birkaç alan kaldı sadece.

1- Devlet destekli bir hackersındır ve buna ihtiyaç duyarsın.
2- bug bounty ile ilgileniyorsundur ve SQLi yolundan ilerlemek istersin.
3- open source bir yazılımda SQLi keşfedersin ve bunu RCE ye kadar götürmeye çalışırsın.

Başka bi amaçla kullanılıyor olması saçma ve mantıksız. Pakistan bilmem ne gov sitesinde SQLi olsa ne olmasa ne, ne yapayım yani onla. Ne işime yarayacak.

Diyelim ki illa veritabanları hacklemek istiyorsun verileri silmek bozmak veya farklı amaçlar için kullanmak istiyorsun, ama bunun için SQLi ye ihtiyacın yok. Veritabanlarına erişmek sandığınızdan daha kolay.

Ek olarak, diğer tüm güvenlik açıklarını ve yarattığı problemlerle uğraşmak daha eğlenceli. SQLi yeterince sıkıcı bence. SQLi ile uğraşanlar gerçekten gidip diğer güvenlik açıklarını da bu kadar kurcaladılar mı? SSTI ile ne kadar ilgilendiniz mesela, veya Web Cache Poisoning ile ne kadar ilgilendiniz. Bunun yaratacağı tehditleri düşündünüz mü?

Yani diyeceğim o ki, genel anlamda SQLi gibi şeylerle uğraşmak şu sıralar boş işten başka bir şey değil.
 
Cevap yazmak için giriş yap yada kayıt ol.
Üst

Turkhackteam.org internet sitesi 5651 sayılı kanun’un 2. maddesinin 1. fıkrasının m) bendi ile aynı kanunun 5. maddesi kapsamında "Yer Sağlayıcı" konumundadır. İçerikler ön onay olmaksızın tamamen kullanıcılar tarafından oluşturulmaktadır. Turkhackteam.org; Yer sağlayıcı olarak, kullanıcılar tarafından oluşturulan içeriği ya da hukuka aykırı paylaşımı kontrol etmekle ya da araştırmakla yükümlü değildir. Türkhackteam saldırı timleri Türk sitelerine hiçbir zararlı faaliyette bulunmaz. Türkhackteam üyelerinin yaptığı bireysel hack faaliyetlerinden Türkhackteam sorumlu değildir. Sitelerinize Türkhackteam ismi kullanılarak hack faaliyetinde bulunulursa, site-sunucu erişim loglarından bu faaliyeti gerçekleştiren ip adresini tespit edip diğer kanıtlarla birlikte savcılığa suç duyurusunda bulununuz.