- Mesajlar
- 197
- Credits
- 2,554
Hedef Sitede SQL Açık Taraması – SQLiv
Hedef Sitede SQL Açık Taraması yapmak için 10’larca araç vardır.Kali Linux’ta SQL açık taraması yapmak için sqliv aracı fazlasıyla işimizi görecektir.SQLiv aracını kurmak için aşağıdaki komutu terminale yazarak aracımızı indiriyoruz.
git clone https://github.com/BerkeUnal/sqliv.git
sudo python2 setup.py -i
(Araç farklı işlemler içinde kullanılmaktadır bu konuda sadece hedef sitede sql açığı bulma gösterilecektir detaylı bilgi için yukarıdaki github bağlantısını kullanabilirsiniz.)
cd komutu ile indirdiğimiz sqliv klasörünün içine geçiş yapıyoruz.
ls komutu ile içindekileri kontrol ediyoruz.
chmod +x sqliv.py
chmod +x setup.py
Komutları ile yukarıdaki 2 dosyaya çalıştırma izni veriyoruz.
python sqliv.py -t http://hedefsite.com/
SQLiv kurulumu tamamlandıktan sonra yukarıdaki komutu çalıştırarak sql açık tarama işlemini başlatıyoruz.
Tarama bitince karşımıza SQL açıklı URL’ler çıkıyor.
Linux için SQLmap,Windows için havij gibi programlar ile SQL açığından faydalanarak DataBase çekebilirsiniz.
Sql Nedir ?
SQL, verileri yönetmek ve tasarlamak için kullanılan bir veritabanı yönetim sistemidir. SQL, kendisi bir programlama dili olmamasına rağmen birçok kişi tarafından programlama dili olarak bilinir. SQL herhangi bir veri tabanı ortamında kullanılan bir alt dildir. SQL ile yalnızca veri tabanı üzerinde işlem yapılabilir.Sql Açığı Tespiti
Eğer sitede sql açıklı bir url bulduysanız bunun tamamen sql açıklı olup olmadığını ‘ (tırnak işareti) ile anlıyoruz.Bulduğumuz ya da test etmek istediğimiz şüpheli urlnin sonuna ‘ işareti koyuyoruz ve sayfa içeriğinin değişerek bir uyarı vermesini gözlemliyoruz böylece açığın varlığından emin oluyoruz.Örnek : http://www.hedefsite.org/index.php?id=1‘
Açığın varlığını yukarıdaki gibi Benzer bir urlnin sonuna ‘ işareti koyarak test edebiliriz.
