Veri Tabanlarını Tehdit Eden Unsurlar Sql Enjeksiyonları
Tolga ENGİNSARIKAYA Yüksel Çelik
AbstractDijital dünya artık bizim için sürekli ihtiyaç haline gelmiştir. Günümüzde artık birçok web sitesi kullanıcılarıyla etkileşim içinde olup onların istekleri doğrultusunda bilgi sunmaktadır. Özellikle son zamanlarda internet üzerinden erişilebilen veri tabanı içeren web uygulamalarının sayısı hızla arttığı gözlenmektedir. Bu artış ile güvenliğin önemi de kat kat artmaktadır. İnternet ağında olan bu veritabanları için hazırlanan güvenlik tedbirleri zaman zaman koruma sağlamamakta ve kötü niyetli kişilerin saldırılarına uğrayarak ihlaller yaşanmaktadır. Bu saldırılar kurumların güvenlik seviyelerine ve saldırganın becerisine göre büyük maddi zararlarla sonuçlanmaktadır. Hali hazırda profesyonel biçimde hizmet sunan web uygulamalarının oldukça büyük bir bölümü SQL standardını kullanmakta ve veri tabanı ile iletişimlerini bu sorgu dili olan sql ile yapmaktadırlar.[1] Web güvenliğinin korunması amacıyla güvenlik duvarları, saldırı tespit sistemi ve bunların engellenmesi gibi sistemler kullanılsa da bazen bu tedbirler yetersiz kalmaktadır. Web uygulamalarında saldırganların hazırladığı kötü niyetli yazılım ve kodlarla dinamik biçimde hazırlanan SQL sorguları engellenebilir veya değiştirilebilir. Tarayıcıların adres çubukları veya veri girişi yapılabilen alanlara bu kötü niyetli SQL kodları oluşturarak bilgi elde edinimi sağlanabilir. Bu elde edilen bilgilerle sadece yetkili kullanıcıların girişine izin verilen alanlara ve veri tabanında ki diğer bilgilere de ulaşabilir. Böylece saldırgan istenmeyen kodları çalıştırarak uygulamaya veya sunucuya zarar verir.Bu çalışmanın amacı MSSQL ve MYSQL gibi sorgu dilini kullanan ASP.NET ve PHP gibi uygulamalar için SQL enjeksiyon saldırılarının yapılış biçimi, tespit edilmesi ve bu saldırılardan korunma yöntemleri ve SQL enjeksiyonlarına karşı veritabanında uyulması gereken güvenlik kuralları ile bilgi güvenliği amaçlanmıştır. Ayrıca bir diğer amaç olarak web uygulamalarında veriler girilirken veyahut bir iş için veri sorgusu yapılırken SQL komutlarında oluşabilecek hata veya saldırı yapan kişiler tarafından sorguların değiştirilmesi ile muhtemel zararların önüne geçmektir.