İlk önce SQL'in ne olduğunu öğrenmekte fayda var; "SQL (Structured Query Language-Yapılandırılmış Sorgu Dili), verileri yönetmek ve tasarlamak için kullanılan bir veri tabanı yönetim sistemidir." Ayrıca SQL, bir programlama dili değildir. SQL, herhangi bir veri tabanı (MySQL, Microsoft Access gibi) ortamında kullanılan bir alt dildir. Yani SQL komutları sadece veri tabanlarında çalışır ve bu komutlar sayesinde veri tabanına kayıt eklenebilir, değiştirilebilir veya silinebilir (Tabi bu komutların işlevi bunlarla sınırlı değildir).
SQL Injection Nedir?
SQL'in ne olduğunu öğrendiğimize göre şimdi sırada SQL Injection'ın ne olduğunu öğrenmek var. SQL Injection, veri tabanlarını hedef alan bir siber saldırı çeşididir. SQL Injection saldırısı gerçekleştirmeye çalışan bir hacker veri tabanındaki zafiyetlerden faydalanır ve bu zafiyetler genellikle insan kaynaklıdır yani bir veri tabanı yöneticisinin veya web sitesini kodlayan programcı tarafından yapılmış olan basit hatalardan bile kaynaklanabilen zafiyetlerdir.
Hackerlar da bazı SQL sorgularıyla sitede bulunan (SQL Injection saldırıları genelde web sitelerine yöneliktir çünkü SQL veri tabanlarını genellikle web siteleri kullanır) veri tabanından veri çekmeyi amaçlar. Bu veriler siteyle ilgili her türlü verilerdir (kullanıcı adları, şifreler gibi). Ayrıca hackerlar manuel olarak bu sorgu komutlarını site üzerinde deneyebileceği gibi bazı yazılımları kullanarak da SQL Injection saldırısı yapabilmektedirler.
SQL Injection Ne Kadar Popüler?
SQL Injection, uygulanmaya başlandığı ilk zamanlardan itibaren en popüler saldırı yöntemlerinden biridir ve çoğu istatistiğe göre SQL Injection web uygulamalarında en çok görülen zafiyetlerden birisidir ve doğal olarak da web uygulamalarına karşı en çok yapılan saldırılar arasındadır.
Yorumlar