You need to enable JavaScript to run this app.

Skip to main content

Boolean-Based SQL Injection

Boolean-Based SQL Injection

Junior Member
Boolean-Based SQL Injection
Boolean-Based SQL Injection, saldırganın SQL sorgularını manipüle etmek için mantıksal ifadeleri kullanarak veritabanından bilgi çalmak için kullandığı bir SQL Injection tekniğidir. Bu saldırı türü, saldırganın sorgularda yanıtı evet veya hayır şeklinde alarak veritabanı yapısını keşfetmesine dayanır.

Örnek olarak, bir web uygulamasının giriş sayfasında kullanıcı adı ve parola alanları olsun ve giriş işlemi aşağıdaki gibi SQL sorgusuyla gerçekleştirilsin

Kod:
SELECT * FROM users WHERE username = 'kullanıcı_adı' AND password = 'şifre';
Saldırgan, kullanıcı adı ve parola alanlarına şu şekilde giriş yapabilir.

Kullanıcı adı: ' OR '1'='1
Parola: ' OR '1'='1

Saldırgan bu girişi yaptığında, SQL sorgusu şu şekilde olacaktır

Kod:
SELECT * FROM users WHERE username = '' OR '1'='1' AND password = '' OR '1'='1';
Burada, '1'='1' her zaman doğrudur, bu yüzden bu mantıksal ifade her zaman geçerli olacaktır. Dolayısıyla, SQL sorgusu tüm kullanıcıları getirecek şekilde değiştirilmiş olur. Saldırgan, bu yolla veritabanından tüm kullanıcı bilgilerini çalabilir.

Eğer giriş başarılı olursa, saldırgan normal bir kullanıcı gibi uygulamaya girecektir, ancak bu saldırganın istismar ettiği bir zafiyettir.
Ve ben sadece maske ardında yaşayan bir adamım

Boolean-Based SQL Injection

İçerik sağlayıcı paylaşım sitesi olarak hizmet veren Siber Güvenlik Forumu sitemizde 5651 sayılı kanunun 8. maddesine ve T.C.K'nın 125. maddesine göre tüm üyelerimiz yaptıkları paylaşımlardan kendileri sorumludur. Sitemiz hakkında yapılacak tüm hukuksal şikayetleri İletişim bağlantısından bize ulaşıldıktan en geç 3 (üç) gün içerisinde ilgili kanunlar ve yönetmenlikler çerçevesinde tarafımızca incelenerek, gereken işlemler yapılacak ve site yöneticilerimiz tarafından bilgi verilecektir.