Başlıklar

• ASP(33)
• ASP.NET(22)
• Ajax(20)
• ActionScript(2)
• PHP(111)
• Cgi / Perl(3)
• HTML-CSS(12)
• JavaScript(25)
• XML(3)
• SQL(5)
• MySql(5)
• SQL Server(3)
• Java(3)
• Phyton(2)
• VB.Net(0)
• C#(8)
• C - C++(6)
• Pascal(1)
• VisualBasic(2)
• Delphi / Kylix(30)
• Assembly(5)
• Arama Motorları SEO(18)
• Linux / Unix(9)
• CMS(3)
• Güvenlik/Güvenlik Açıkları(16)
• internet ve teknolojiler(47)
• Programlama Kodlama(4)
• Haberler(16)
• Diğer(23)

C# Injection Flaws - C# Webmaster bilgi bankası, knowledge base Webmaster Araçları

AnaSayfa > C# > C# Injection Flaws
	Kategori : C# Gönderen : Admin Tarih : 2008-11-11 Puan : 7   | Katılımcı : 6 Okunma : 5482
Dinamik SQL sorgularının kullanıldığı sistemlerde oluşabilecek bir açıktır. Bir kullanıcı adı parola sınaması yapılan SQL cümleciğinde kullanılabilir. Select MemberID From Member Where Username = '" + txtUsername.Text + "' and Password = '" + txtPassword.Text + "'" Şeklinde bir SQL cümlesinin kullanıldığı bir sistemde aşağıdaki ifadeleri girelim txtUsername.Text : ' or 1=1 -- txtPassword.Text : 123 ifadesi aşağıdaki SQL cümlesinin çalıştırılmasını sağlar Select MemberID From Member Where Username = '' or 1=1 -- ' and Password = '" + txtPassword.Text + "'" -- ifadesi SQL Server için yorum satırı anlamına geldi için çalıştırılmaz. Where ifadesini inceleyelim : Username = '' false döner, 1 = 1 ise true. Or karşılaştırmasında ise False or True’nun sonucu true’dur. Dolayısıyla doğru kullanıcı adı parola girilmese dahi geriye tüm kayıtlar döner ve saldırgan ilk kaydın yetkisi ile içeriye giriş yapmış olur. Saldırgan “SQL Injection” yöntemi ile veritabanı hakkında daha detaylı bilgi edinebilir. SQL Server üzerinde System Administrator hesabı açabilir, Tüm Tabloların listesini ve bu tabolardaki bilgilere ulaşabilir. Hatta web uygulaması sa yetkisine sahip bir kullanıcı ile çalıştırılıyorsa xp_cmdshell ‘format C:’ ile sisteme format bile atabilir. Dinamik SQL sorgularındaki bu içeri sızmaları engellemenin yolu parametre kullanmaktır. Bunu SqlCommand nesnesine SqlParameter tipinde parametre ekleyerek yapabiliriz. SqlConnection conn = new SqlConnection(); conn.ConnectionString = "[ ConnectionString ]"; SqlCommand cmd = new SqlCommand(); cmd.Connection = conn; cmd.CommandText = " Select MemberID" + " From Member" + " Where Username = @username and Password = @password"; cmd.Parameters.AddWithValue("@username",txtUsername.Text); cmd.Parameters.AddWithValue ("@password",txtPassword.Text); conn.Open(); int MembetID = Convert.ToInst32(cmd.ExecuteScalar()); conn.Close(); Bu şekilde kullandığımız dinamik SQL sorgularında Injection yönetimini bertaraf etmiş oluruz. Kaynaklar http://www.owasp.org/index.php/Top_10_2007-A2 http://www.spidynamics.com/papers/SQLInjectionWhitePaper.pdf http://www.mutasyon.net/makaleoku.asp?id=728