SQLMap Nedir

SqlMap nedir

Her web sitesi ya da uygulamasının kendine ait bir veri tabanı vardır. Bu veri tabanı DBMS (Database Management System) olarak bilinen bir yönetici arayüz tarafından kontrol edilir. SqlMapkısaca, bu veri tabanı yöneticisinin açıklarını ve zafiyetlerini bulan, bu açık yollardan da sisteme giriş yapabilmenizi sağlayan bir güvenlik yazılımıdır. Peki, SqlMap nedir? SqlMap nasıl kullanılır? İşte, sizler için düzenlediğimiz tüm detaylar.

SqlMap nedir

Bir Database, yani veri tabanı bulunan tüm web sitesi ya da uygulamalarının, veri tabanı yöneticisi de vardır. SqlMap, bu veri tabanı yöneticisine zararlı kodlar yönlendirir ve sistem korumasının tepkisini ölçer. Bu tepkimeye göre de sistemin, zayıf noktalarını belirler. Böylece, sisteme giriş yolları yani veri tabanına erişim mümkün kılınır. Peki, bu sistem nasıl çalışır?

SqlMap nedir? SqlMap bir tür veri tabanı yöneticisidir ama daha yüksek yetkilere sahiptir. Bu yetkiler, yetkilendirmesi bulunmadığı yani, erişimine iznin verilmediği bir web sitesi arayüzüne bile girebilmesini sağlar. Aslında bu bir çeşit hackleme sayılır. SqlMap ’in işlevselliğini sağlayabilmesi için birkaç destek programına ihtiyacı vardır. Bunlardan ilki SQL Injection olarak gösterilebilir. Biraz önce bahsettiğimiz gibi SqlMap ‘in veri tabanı zafiyetlerini belirleyebilmesi için gönderilen zararlı yazılımlar, SQL Injection tarafından gönderilirler. Sistem, belirlenen web sitesi arayüzüne aslında normal olmayan yani, koruma sistemi tarafından desteklenmeyen kodlar yönlendirir. Bir çeşit virüs sayılabilecek bu kodlar, bize sistemde bulunan açık noktaları gösterir. Bu sayede, aslında erişim iznimizin olmadığı herhangi bir veri tabanı yöneticisine, giriş yapabilir ve istediğimiz değişiklikleri sağlayabiliriz. Diğer bir ihtiyacınız olan sistem ise hali hazırda çoğumuzun bilgisayarında kurulu olan Windows, MacOS ya da Linux sistemleridir. Peki, SqlMap nasıl kullanılır? Gelin, detaylı olarak birlikte inceleyelim.

SqlMap nasıl kullanılır

Biraz önce bahsetmiş olduğumuz gibi SqlMap, belirlenen bir web sitesine erişebilme imkanı sunar. Bunu yapabilmek için öncelikle, SqlMap programına bir URL tanımlamamız gerekir.

SQLMap Nedir

Yukarıda örneği verildiği gibi SqlMap içeriğinde URL kodu -uolarak belirtilmiştir. Sonrasında erişime ulaşılmak istenen web sitesi adresi yer alır. Daha sonraki iş SQL Injection tarafından halledilir. Gönderdiği zararlı kodlar ile URL’nin hangi DBSM kullandığından tutun, kullanılan dil ve versiyona kadar birçok bilgi, bu sayede elde edilir. Mevcut veri tabanı listesini görüntülemek için –dbs bağlantısını kullanırız. Aşağıda örneği verildiği üzere, URL adresinin sonuna bu kodlama eklenir.

SQLMap Nedir

Görüldüğü üzere, girdiğimiz URL ağına bağlı veri tabanı listesini artık kullanabilecek duruma geldik. Buradan tabloları, kolonlar ve parametreleri kullanabilir hale getirebiliriz. Şunu unutmamanız gerekir ki SqlMap, yalnızca kullanımına olanağın olduğu sitelerde kullanılabilir. Yani, bir sitenin güvenlik duvarlarında açık varsa ya da açık oluşturulabilecek boşluklar veya zayıflıklar mevcutsa kullanılabilir. Aksi halde,SqlMap sisteme girişinizi sağlayamaz.

En basit örneği ile yukarıda SqlMap nasıl kullanılır,göstermiş olduk. Yapılabilecek şeyler bunlarla sınırlı değildir tabi. Kullanılabilecek daha bir sürü işlevi olan SqlMap, herhangi bir URL üzerinden işlem sağlayabilir. Biraz önce bahsettiğimiz şartlar dahilinde. Peki, bunlar dışında neler yapabiliriz? Örneğin, yetki kontrolü yapabilirsiniz. Bu ne demek? Yani, erişim sağlanmak istene URL için kullanılan DBSM kullanıcı adı ve parolasını görebilme imkanıdır. Bu şekilde, sisteme tam erişim sağlamış olursunuz. Kullanıcı adını görebilmek için –users kodlaması yapılır.  Böylece, DBSM ‘a bağlı kullanıcıları görebilirsiniz. Hangi kullanıcının admin olduğunu görebilmek için ise –is-dba şeklinde, sorguya tabi tutulur. T ya da F şeklinde alacağınız cevap ile de hangi kullanıcı admin, öğrenebilirsiniz. Benzer bir şekilde parolayı öğrenmek için ise –password kodlaması yapılır. Kullanıcı adınız ve parolanız ile sisteme giriş yapabilir ve tam yetki elde edebilirsiniz.

SqlMap ile dilerseniz birden fazla URL adresini, aynı anda tarayabilirsiniz. Bunu yapabilmek için -m kodlaması kullanılır. Bunun size vereceği yarar, birden fazla web sitesi için aynı işlemleri, tek bir SqlMap üzerinden sağlayabilirsiniz. Yapabilecekleriniz bunlar ile de sınırlı değildir. GET parametresini kullanarak bir istek dosyası yükleyebilirsiniz. POST parametresi yine kullanılabilen bir işlevdir. Bunlar ve benzeri daha birçok komut ve parametre, aktif şekilde kullanılabilecek durumdadır. Böylelikle, tek bir program ile dilediğiniz tüm komutları aktif hale getirebilirsiniz.

SqlMap kullanım alanları

Yukarıda birlikte SqlMap ve nasıl kullanıldığı ile ilgili detaylı bilgiler edindik. Şimdi, edinilen bu bilgileri ne için ve nerede kullanabiliriz, dilerseniz bunu inceleyelim. SqlMap kullanım alanları aslında, çok geniş sınırlara sahiptir. Legal ve illegal birçok aktivite için kullanılabilecek program özellikleri, aslında yararlı bir sebep adına üretilmiştir. Örneğin, bir web sitesi sahibisiniz. Sitenizde çalınması muhtemel ya da risk teşkil eden ürünler veya bilgiler mevcut. Bu durumda elbette, web sitenizin tamamen güvende olmasını istersiniz. Hazır olarak satılan bazı koruyucu programlar vardır. Bu programların ne derecede sizi koruduğunu, nasıl öğrenebiliriz? Elbette, test ederek. Test etmek, başka birisinin gelip sitenizi tehdit etmesini beklemek midir, yoksa bu olmadan önce açıkları görebilmek için kendi çabamızla bir tehdit oluşturmak mıdır? Bu sorunun cevabı aslında, SqlMap kullanım şeklinizi ve alanınızı belirler. Yazılımı iyi amaçlarda kullanmak, web sitenizde bulunan güvenlik açıklarını görmenize ve bu açıkları kapatabilmenize olanak sağlar. Böylece, yüzde yüz güvenli bir DBSM sahibi olabilir, sistem verilerinizi büyük bir koruma ile depolayabilirsiniz. Aynı zamanda, yaratıcı kişiler için de fayda gösterebilecek bir uygulamadır. Piyasaya sürülmeden önce bir ürünün test aşaması, o ürünün piyasada oluşturacağı etkiyi ve kalitesini belirler. Bir güvenlik duvarı yarattığınızı var sayalım. Programınız sayesinde database de bulunan birçok veri koruma altına giriyor diyelim. Bu korumanın etkisini nasıl ölçeriz? Tabi ki o duvarı kırmaya çalışarak. SqlMap kullanarak gönderilen zararlı kodlamalar yani, hackleme işlemi, eğer başarılı ise yazılımınız üzerine daha fazla çalışmalısınız. Ayrıca SqlMap giriş yapılan yerleri de gösterdiği için hangi konuda eksiklerinizin olduğunu kolayca saptayabilir, zamandan tasarruf ederek tek bir nokta üzerine yoğunlaşmanıza imkan kılabilirsiniz.  

Görüldüğü üzere, SqlMap kullanım alanları çok geniş yer tutar. Yapmak istediğiniz işlem, yasalar çerçevesinde uygulanmaya müsait olmalıdır. Ürünü satın aldıktan sonra yapılan kullanımlar, firma yetkisi dışında olduğu için tek sorumlu, kullanıcının kendisidir. Bu yüzden de, kullanım amacınızı dikkatli seçmeniz önerilir. Elbette kendi internet siteniz ya da evinizin internetinde kullandığınız veri tabanına giriş yapmak ya da test etmek için kullanmanız, sizin iradeniz altında olduğu için sorun teşkil etmeyecektir. Programı hackleme ya da zararlı yazılımları isteyerek bir saldırı oluşturmak amacıyla kullanmak, yasal olarak yasaklanmış bir siber suçtur ve cezası büyüktür. İnternetin size sunduğu imkanlardan faydalanmak, elbette yapılacak en iyi yatırımdır. Yetkiniz dışındaki web siteleri ya da uygulamalarını istemleri dışında tehdit etmek ya da saldırıya maruz bırakmak ise bir suçtur. Bu yüzden, kullanım şeklinizi doğru amaçlar uğruna belirleyiniz.

SqlMap Pentest Testlerinde sıkça kullanılan bir tooldur diğer pentest toolarını incelemek için siber güvenlik kategorimizi ziyaret edebilirsiniz.

Ekim 13, 2021

Ping Atma Nedir?

Ekim 8, 2021

Hotspot Nedir?

YORUMLAR

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir