MWN9LGx8LGF4NWZcMqR5NWVdLTcsynIkynwbzD1c

SQL Enjeksiyon (Injection) Güvenliği Sağlama

SQL Enjeksiyon (Injection) Güvenliği Nasıl Sağlanır? Siber Güvenlik Eğitimleri.…

Ak Blog SEO
4349759590016280108

SQL Enjeksiyon (Injection) Güvenliği Sağlama

4 Haziran 2022 Cumartesi

SQL Enjeksiyon (Injection) Güvenliği Nasıl Sağlanır

Sizlere bu konumuzda SQL Injection (enjeksiyona) yönelik alabileceğimiz tedbirlere dair önemli bilgiler vereceğiz. Konuda vermiş olduğumuz bilgiler ile kendinizi sınırlamayın ve internet üzerinden de edinebileceğiniz konuya ilişkin Siber Güvenlik dökümanlarına göz atmanız, elbette sizlere daha büyük fayda sağlayacağını düşünüyoruz. Konuyu uzatmadan sizleri dökümanımızla baş başa bırakalım. 
SQL Enjeksiyon (Injection) Güvenliği Sağlama
SQL Enjeksiyon (Injection)

Veri tabanı kullanan bir web uygulamasındaki SQL

enjeksiyonu açığı tespit edildikten sonra yapılabilecek işlemler, uygulanan SQL ifadeleri sonucu alınan hatalar dikkate alınarak belirlenebilir. Böylece web sitesinin yönetimi ele geçirilebilir, veri tabanına yeni tablolar eklenebilir, var olan tablolar silinebilir. Veri tabanı yönetimi ele geçirilerek, sistem üzerinde yönetici hakkı elde edilebilir. Erişilen bilgilere göre saldırının türü, boyutu ve yapılabilecek işlemler farklılık gösterebilir. Bu nedenle, geliştirilen bir web uygulamasında muhtemel sızma veya saldırılara karşı, birçok husus göz önünde bulundurulmalıdır.

Yapılan kapsamlı literatür çalışmaları ile elde edilen bilgiler ve gerçekleştirilen örnek uygulamalar ile sızmalara  karşı kazanılan tecrübeler ışığında, bu konuda ilk akla gelen öneriler aşağıda belirtilmiştir.

SQL Injection (Enjeksiyon) için alınabilecek tedbir kapsamları 

  • Veri tabanında bulunan tablo ve tablo alanı isimlerinin kolay tahmin edilebilecek şekilde olmaması gerekir.
  • Web formlarında parametrik sorguların kullanılması tercih edilmelidir.
  • Web formlarındaki giriş kontrollerine veri girişi 
  • yapılırken bu verilerin doğrulanması, girdi uzunluğunun kontrol edilmesi önemlidir.
  • Web formlarında kullanılan ve veri tabanında bir kayıt satırını temsil eden sayısal değerler için (QueryString değeri) formlar arası geçişlerde bu değerlerin sayısal değer olup olmadığının kontrol edilmesi gerekir.
  • SQL tabanlı web uygulamalarında kullanıcı, veri girişi yaptıktan sonra veri tabanına gönderilen SQL sorgusu karakterlerinde arama yaptırılarak tehlikeli karakterleri, replace vb. komutlarla SQL Sunucuda hataya yol açmayacak şekilde zararsız karakterlere çevrilmelidir. 
  • SQL sunucuda oluşacak hataların web formlarında görüntülenmesi engellenmelidir. 
  • Web uygulamalarında kullanılan veri tabanına yazma, okuma, silme gibi temel özelliklerin yalnızca bir yönetici tarafından yönetilmesi gerekir.
  • Uygulamada web formlarına sorgu yazmak yerine, bu sorguları veri tabanı kısmında saklı yordam (Stored Procedure) olarak yazılması sağlanmalıdır.
  • SQL enjeksiyon yönteminde kullanılabilecek sözcüklerin (select, insert, update vb.) bir fonksiyon ile filtrelenmesi olası sızmalara karşı bilgi verilmesini engeller.
  • Veri tabanının kullanacak yöneticilerin yetkilendirilme işlemlerinde, sınırlı yetkilere sahip kullanıcı hesabı ile çalıştırılmasına büyük özen gösterilmelidir. 
  • Kullanılmayan saklı yordamların ve yönetici hesaplarının kaldırması gerekir.
  • Sistem nesneleri için genel erişim verilmemeli, gerekirse kullanıcı bazında yetki verilmelidir. 
  • Web uygulaması ve veri tabanı sunucularının bulunduğu sistem, donanım veya yazılım tabanlı bir güvenlik duvarı ile saldırılara karşı muhafaza edilmelidir. 
  • Yukarıda belirtilen öneriler dikkate alındığında, veri tabanı kullanan web uygulamaları, büyük ölçüde SQL enjeksiyon saldırılarından korunmuş olacaktır.





--
---
akblog.net
Ak Blog SEO - Google SEO Eğitimleri Dokümanları
  1. SQL Injection (Enjeksiyon) için alınabilecek tedbir kapsamları
    Veri tabanında bulunan tablo ve tablo alanı isimlerinin kolay tahmin edilebilecek şekilde olmaması gerekir.
    Web formlarında parametrik sorguların kullanılması tercih edilmelidir.
    Web formlarındaki giriş kontrollerine veri girişi
    yapılırken bu verilerin doğrulanması, girdi uzunluğunun kontrol edilmesi önemlidir.
    Web formlarında kullanılan ve veri tabanında bir kayıt satırını temsil eden sayısal değerler için (QueryString değeri) formlar arası geçişlerde bu değerlerin sayısal değer olup olmadığının kontrol edilmesi gerekir.
    SQL tabanlı web uygulamalarında kullanıcı, veri girişi yaptıktan sonra veri tabanına gönderilen SQL sorgusu karakterlerinde arama yaptırılarak tehlikeli karakterleri, replace vb. komutlarla SQL Sunucuda hataya yol açmayacak şekilde zararsız karakterlere çevrilmelidir.
    SQL sunucuda oluşacak hataların web formlarında görüntülenmesi engellenmelidir.
    Web uygulamalarında kullanılan veri tabanına yazma, okuma, silme gibi temel özelliklerin yalnızca bir yönetici tarafından yönetilmesi gerekir.
    Uygulamada web formlarına sorgu yazmak yerine, bu sorguları veri tabanı kısmında saklı yordam (Stored Procedure) olarak yazılması sağlanmalıdır.
    SQL enjeksiyon yönteminde kullanılabilecek sözcüklerin (select, insert, update vb.) bir fonksiyon ile filtrelenmesi olası sızmalara karşı bilgi verilmesini engeller.
    Veri tabanının kullanacak yöneticilerin yetkilendirilme işlemlerinde, sınırlı yetkilere sahip kullanıcı hesabı ile çalıştırılmasına büyük özen gösterilmelidir.
    Kullanılmayan saklı yordamların ve yönetici hesaplarının kaldırması gerekir.
    Sistem nesneleri için genel erişim verilmemeli, gerekirse kullanıcı bazında yetki verilmelidir.
    Web uygulaması ve veri tabanı sunucularının bulunduğu sistem, donanım veya yazılım tabanlı bir güvenlik duvarı ile saldırılara karşı muhafaza edilmelidir.
    Yukarıda belirtilen öneriler dikkate alındığında, veri tabanı kullanan web uygulamaları, büyük ölçüde SQL enjeksiyon saldırılarından korunmuş olacaktır.

    YanıtlaSil
Konu hakkında sormak istediklerinizi yazabilirsiniz.
AK Blog SEO

Read. Think. Exercise (Oku. Düşün. Uygula.)

| SEO | İstanbul Hukuk | İstanbul Hukuk | kıdem tazminatı | AK Haber | AK News
Siz hayal edin. Biz Hayata geçirelim.
Akblog.NET
Whatsapp İletişim Formu×
Bilgileriniz
İstek Bilgileriniz
iletişime geç

Merhaba!

Beyazekran@gmail.com adresine e-posta gönderin veya aşağıdaki temsilcilerimizden biriyle WhatsApp ile iletişime geçin.

Yönetim Ekibi Yönetici ile iletişim geçin.
+905050251428
Destek Ekibi Eva ile iletişime geçin.
+905050251428
Doğrudan arayabilirsiniz +905050251428
Destek Saatleri 09:30 - 17:30
Merhaba! Nasıl Yardımcı Olabiliriz?
×
Nasıl Yardımcı olabilirim?