RedHack, dün Diyanet İşleri Başkanlığı’na ait web sitesinin veri tabanına giriş yaptı ve bunun nasıl yapılabileceğini Twitter hesabı üzerinden herkesle paylaştı.
RedHack’in paylaştığı kullanıcı adı ve parola ile girenlerin tamamı aslında farkında olmadan çok bilinen bir hack yöntemini uygulamış oldular. Bu yönteme SQL injection deniyor. Düşünün ki, yöntemin nasıl uygulandığını Wikipedia‘da bile bulmak mümkün.
Çok büyük maliyetlerle yapılan internet sitelerinin böylesine kolay bir yöntemle hack’lenebiliyor olması hayli düşündürücü. 2000’li yılların başından beri bilinen SQL injection yöntemi, sistem güvenliği konusunda akla gelen ilk handikaplardan biri. Dolayısıyla geliştiriciler sistem inşa ederken ilk olarak buna karşı önlem alıyor.
Peki nasıl yapılıyor?
Kullanıcı adı ve parola kullanılarak giriş yapılan bir sistem düşünelim. SQL injection ile girişe izin verebilecek sorgu tipi aşağıda yer alıyor.
Select UserId from users Where username = ‘KULLANICIADI’ AND password = ‘PAROLA’
Sorguda kullanıcı adı yerine KULLANICIADI ve parola yerine de PAROLA yazdığımızı ve giriş yapmaya çalıştığımızı düşünebiliriz. Bu şekilde tabii ki giriş yapamıyoruz. Fakat KULLANICIADI ve PAROLA olarak RedHack’in belirttiği gibi “‘or”=’” yazıldığında program böyle bir kullanıcının var olduğunu sanıyor ve girişe izin veriyor…
SQL injection’a izin vermemek için sistem yöneticisi tarafından yapılması gerekense aslında çok basit. Kullanıcı adını ve parolayı salt birer bilgi yerine parametre haline getirmek gerekiyor:
Select UserId from users Where username = @KULLANICIADI AND password = @PAROLA
Burada artık @KULLANICIADI ve @PAROLA birer parametre haline gelmiş oldu ve programatik olarak bu parametrelerin yerine tanımlanacak veri ne olursa olsun artık SQL injection ile giriş mümkün değil.
siz buna çözümmü diyorsunuz ? googleden bakıp buldugunuz şeyler cözüm üretilemez
Veritabanına da ayakkabı ile girmişler :-)
Bunun adı lamerlık, hackerlık değil.
inanılmaz bir hizmet vermişsiniz ..ağzımız açık kaldı .
mademki herşey bu kadar basit yetkililermi hiç birşey bilmiyor yoksa siz kendinizin birşeymi bilidiğini zannediyorsunuz?
Lamerlik yaptığı basit şeylerle övünen yapamadıklarını gizleyenlerdir bence adamlar dalga geçmişler resmen bunu lamerler bile yapabilir demek istemişler hükümet olacaksınız sözde demişler geri zekalılar demedikleri kalmış :)
1. sql injection olabilmesi için sql db olmalı ki kırılan bazı sitelerde sql kullanılmıyordu.
2. wher username (tabloda bu ismi ve alanı tam olarak bilmeniz gerekli : un de olabilir xvayzet de)
3: bazen kırmak için yazılım bilmeniz yeterli değildir. içeriden bilgi alımı sağlamak gerekebilir. yani içeride yazılım hacker ı değilde hayat hackerı bir ajanınızın olması gerekebilir.
4: yazar burada tutup hacker kitabı yazacak değil. basit bilgi ile aydınlatma yapıyor. inceden bilgi sahibi olun diye.
Sisteme girip ufak kodlarla SQL injection yaratlıyorda olabilir.
Redhack bunu böyle yapıyor demek emeğe saygısızlık olur.
Bildiğiniz üzere yapılan hacklerde çok sayıda belge çıkarılmıştır.
Buda sadece SQL injection ile yapılıyor anlamına asla gelmez.
Ozaman SQL injection açıklarını bulup hepimiz hack yapalım bluehack whitehack gibi lakaplar bulalım.
Redhack nasıl hackliyor başlığının konusu ve açıklaması kesinlikle böyle basit bir yazı olmamalıydı.
gerçekten harika bir zeka ürünü, yumurtaya can veren allahımmm:)))))))
Günümüzde hacklemelerin çoğunluğu, yetkili kişinin bilgisayarına bulaştırılan bir virüs ile yapılıyor. Bu virüs, klavyede basılan bütün tuşları log edip hacker’a yolluyor. Hacker da şifre olma ihtimali olan dizileri kullanarak sisteme girmeye çalışıyor.
Virüsü bulaştırmak için de hiçbir erkeğin kolay kolay reddedemeyeceği web siteleri kullanılıyor, porno siteler :) Çok çekici bir spam gönderip kurbanı ilgili siteye yönlendir, video indir ve çift tıkla, iş bitti. Video aslında virüs programı…
evet arkadaşım bu kadar basit. bu konuyla az çok ilgilenen biri bile bu açığın varlığından haberdardır. ama malesef kişiler işlerini doğru düzgün yapmadığı için bu açıklar halen binlerce sitede mevcut.
yorumları okudum da herkesi zoruna gitmiş. bu işin açıklamasının bu kadar basit olmasına kafanızı bu kadar takmayın. asıl kafanızı takmanız gereken bu kadar basit açıkların deste deste para dökülerek yaptırılan ve parası cebimizden çıkan sitelerde ne işi olduğudur :)
bence hepsi boş iş :) herkes hack yapabiliyor bu zamanda. madem bu gruplar çok akıllı ve süper hack yapabiliyorlar neden bir banka yada para ile uğraşan dev şirketlere girip gariban halkı faizle borcla köşeye sıkıştıranların ensesine binmiyorlar :) devletin asp yada php ile yapılmış amatör sitelerinde cirit atıyorlar :) ilk okul seviyesi eylemler. amaçları ve hizmetleri kimlere yönelik iyi bilmek lazım.Redhack in mafya ile başının nasıl belaya girdiğini neden açıklamıyorlar :) mafyanın o bulunamayan redhack üyelerinin kaçını yakalayıp öldürdüğünü neden haber yapmıyorlar :)) işin arkasında kim varsa medya ve sanal dünyaya iyi hükmediyor…!