ඔබ තවමත් Widane Forums සාමාජිකයෙක් නෙවෙයි ද..?

Widane Forums හි සියළුම ලිපිවල ඇති සියළුම Links වෙත පිවිසීමට නම් ලියාපදිංචිවීම අනිවාර්යයි.
ඔබගේ සියලුම තාක්ෂණික ගැටළු සඳහා විසඳුම් සොගැනීමට වගේම දැනුම බෙදාගැනීම සඳහා මෙහි ඉඩකඩ වෙන්කර තිබෙනවා.
ඉතින් ඇයි තවත් බලාගෙන ඉන්නේ ඉක්මනින් ලියාපදිංචිවී ඔබගේ දැනුම වැඩිකරගන්න.

Register Here




[Question] SQL Injection කියන්නෙ වැඩක් ඇති දෙයක්ද?
#1
මචන්ලා මට පොඩි ප්‍රස්නයක් තියෙනවා. මේ ෆෝරුම් එකේ හුඟක් හැකිං ගැන කතා වෙනවා. මං නම් හැකිං ගැන මහ ලොකු දෙයක් දන්නෙ නෑ. මං නිතරම වගේ මේකෙ දකින දෙයක් තමා SQL Injection. මම JS, PHP වලින් සිස්ටම්ස් හදලා තියෙනවා. ඒ නිසා මං හොඳටම දන්නවා දැන් SQL Injection වලින් වැඩක් නැහැ කියලා. මොකද SQL Injection එකක් වැඩ කරන්න නම් ඔය පාවිච්චි කරන strings කෙලින්ම සර්වර් එකේ ක්‍රියාත්මක වෙන්න ඕනෙ. ඕනෙම web developer කෙනෙක් දන්නවා ඒක කොහෙත්ම වෙන දෙයක් නෙවෙයි කියලා. මොකද හොඳ සිස්ටම් එකක GET හෝ POST මෙතඩ් වලින් ගන්න ඩේටා sanitize කරන්නෙ නැතුව පාවිච්චි කරන්නෙ නෑ. අනික හුඟක් සිස්ටම්ස් MYSQL හරි ඒ වගේ SQL ඩේටාබේස් එකකට කෙලින්ම connect වෙන්නෙ නෑ. හුඟක් වෙලාවට ORM එකක් හරහා තමා අපි ඩේටාබේස් එක පාවිච්චි කරන්නෙ. ඒක ආරක්ෂිතයි වගේම ලේසියි.
ඒ කියන්නෙ දැන් SQL Injection වලින් කරන්න පුළුවන් දෙයක් නෑ කියන එක නේද?

අනිත් එක තමා දැන් SQL, හරියටම කිව්වොත් Relational Databases වලට ලොකු තරඟ කාරයෙක් ඉන්නවා, NoSQL. පාවිච්චියෙ ලේසිය නිසාම දැන් හුඟක් project වලට පාවිච්චි කරන්නෙ MongoDB, Firebase වගේ NoSQL ඩේටාබේසස්. මේවා හුඟක් වෙලාවට cloud providers ලාගෙන් ගන්න නිසා ආරක්ෂාවත් සැලකිය යුතු මට්ටමක තියෙනවා. මේක මං අමතර කරුණක් විදිහට කිව්වෙ, මගේ ප්‍රධාන ප්‍රස්නෙ මං උඩ කියපු එක. මං කැමතියි ඒ ගැන උඹලගෙ අදහස් දැනගන්න.


ප.ලි. උඹලට හිතිලා නැද්ද උඹලා මේ හැකිං කියලා ඉගෙන ගන්නෙ අද කාලෙට කිසි වැදගත්කමක් නැති පරණ පුස්කාපු දැනුමක් කියලා. Information System Security කියන්නෙ මීට වඩා ගොඩක් පුළුල්, මුල් බැහැපු මාතෘකාවක්... 
#2
ඔව් බන් මාත් හිතන විදිහට අප්ඩේට් වෙන්න කාලෙ හරි,අලුත් බග් හොයන්න,ඒව එක්ස්ප්ලොයිට් කරන්න ට්‍රයි කරන්න වෙනව.

ඒ උනාට මේ බේසික් නැතුව ෆීල්ඩ් එකට බහින එකත් අවුල්,ඉතින් මේ ෆෝරම් එකේ වෙන්නෙ අන්න ඒ බේසික් හදන එක,ඒ නැතත් මේකෙ හැම එකක්ම sqli ගැන කතා කරල නෑ,අප්ඩේටඩ් මෙතඩ්ස්,බග්ස් ගොඩක් ගැන මේකෙ ට්‍රෙඩ් තියනව හොයල බැලුවොත් හම්බෙයි,ඒ වගේම මේකෙ බ්ලැක් හැට් කරන්නෙත් නෑ,ඉතින් මේකෙන් පුලුවන් දැනුම එකතු කරගෙන සෙල්ෆ් ස්ටඩි කරල ඉගනගන්න දැනගන්න ඕනෙ,හැකරෙක් වෙන්නනම්.

මන් මහලොකු දෙයක් දන්නව නෙවේ,හිතුන දේ කීවෙ
Reply
#3
අනිවා බන්
Reply
#4
(03-30-2019, 04:26 PM)Nick Killer(Nadun) Wrote: ඔව් බන් මාත් හිතන විදිහට අප්ඩේට් වෙන්න කාලෙ හරි,අලුත් බග් හොයන්න,ඒව එක්ස්ප්ලොයිට් කරන්න ට්‍රයි කරන්න වෙනව.

ඒ උනාට මේ බේසික් නැතුව ෆීල්ඩ් එකට බහින එකත් අවුල්,ඉතින් මේ ෆෝරම් එකේ වෙන්නෙ අන්න ඒ බේසික් හදන එක,ඒ නැතත් මේකෙ හැම එකක්ම sqli ගැන කතා කරල නෑ,අප්ඩේටඩ් මෙතඩ්ස්,බග්ස් ගොඩක් ගැන මේකෙ ට්‍රෙඩ් තියනව හොයල බැලුවොත් හම්බෙයි,ඒ වගේම මේකෙ බ්ලැක් හැට් කරන්නෙත් නෑ,ඉතින් මේකෙන් පුලුවන් දැනුම එකතු කරගෙන සෙල්ෆ් ස්ටඩි කරල ඉගනගන්න දැනගන්න ඕනෙ,හැකරෙක් වෙන්නනම්.

මේ තියෙන දේවල් ඉගෙන ගෙන ඒවා exploit කරන තැනට යන්න නම් සෑහෙන කාලයක් යයි. 

ඇයි අපි මේ ඉගෙන ගන්න දැනුම වැඩක් ඇති දේකට පාවිච්චි නොකරන්නෙ? දැන් තියෙන හුඟක් technologies exploit කරන එක හරියට research project එකක් කරනවා වගේ. කරන්න බෑ කියන එක නෙමෙයි මම කියන්නෙ, එහෙම දෙයක් කළොත් ඒක නිකන්ම නිකන් හැක් එකකුත් නෙමෙයි. 

බේසික් කිව්වට බං මං දැකලා නෑ මේකෙ SQL ඩේටාබේස් එකක් කියන්නෙ මොකද්ද? HTTP කියන්නෙ මොකද්ද? Python කියන්නෙ මොකද්ද? PHP වලින් වලින් වැඩ කරන්නෙ කොහොමද? වගේ සරල මාතෘකාවක් වත් කතා කෙරෙනවා. ඔය වගේ දේවල් කතා කෙරෙන threads කිහිපයක් තියෙනවා හැබයි ඒව ඒ තරම් උඩට එන්නෙ නෑ, ඒ කියන්නෙ කට්ටියගෙ උනන්දුව අඩුයි කියන එකනෙ...

හැමෝම කතා කරන්නෙ කඩන හැටි ගැන මිසක් හදන හැටි ගැන නෙමෙයි. ඒ නිසා මේක දැන හෝ නොදැන ගමන් කරන්නෙ Black Hat forum එකක් දිහාවට.
Reply
#5
sqli wage common vuln ekk gana igena nogena komada anik vulns gana hoyanne kiyala prasnyak enwa. [Only registered and activated users can see links Click here to register] wala 2013 sita ada wenakamna 1st place ekata thiyenne injection attacks(SQL, NoSQL, OS, and LDAP injection). danata danna kiyana vulns gana nodana aluth vulns gana witarak hoyala mana karannada. sqli witharak neme thawa ananthawath vulns tiyenawa. security researcher kenek me hama deyak ganama denagena inna eka watinawa. me vuln eka wadak na, mewa thamai  hoda kiyala vulns thoragena igena ganna eka moda wadak.

Anøn LK 
(Admin & Moderate Officer)

Widane Forums
Contact Me: [email protected]
Admin Queries: [email protected]
General Queries: [email protected] 
Reply
#6
ඔව් වටිනාකමින් වැඩි ත්‍රෙඩ්ස් ගොඩාක් යට ගිහින් තියෙනවා. හැබැයි බලපු ගණන නම් සෑහෙන්න ඉන්නවා. ඒත් කමෙන්ට් දාලා තියෙන්නේ දෙන්නයි තුන් දෙනයි. අන්න ඒකයි වටිනාකමින් වැඩි ත්‍රෙඩ්ස් යට යන්න ප්‍රධාන හේතුව. හැබැයි මම මෙහෙම දෙයක් දකිනවා. දැන් ඔයා ඇතුළු ගොඩාක් අය කියනවා මේ SQLi කියන්නේ යල් පැනපු දෙයක් කියලා. ඇත්තට මම ඒ මතය පිළිගන්න සූදානම් නැහැ. මොකද SQL Database භාවිතා කරනතාක් කල් ඒ ඕනෑම Script එකක් SQLi Attack එකකට Vulnerable වෙන්න පුළුවන්. ඔයාගේ ප්‍රධාන තර්කය අපි සරලව SQLi එකකින් Input කරන Query එක අලුතින් එන වෙබ්අඩවිවල Execute වෙන්නේ නැහැ කියන ඒක නේද. ඇයි එහෙම වෙන්නේ නැත්තේ. ඒකට හේතුව අලුත් වෙබ්අඩවිවල එකක් Web Application Firewall (WAF) එකක් තියෙනවා. අන්න එකෙන් Block කරනවා. නැත්නම් Inputs ඔක්කෝම Validate කරනවා. ඒ දේවල් වලට පාවිච්චි කරන්නේ Filter කරන එක. එතනදී අපි හරියටම දන්නවානම් Filter වෙන විදිහ අපිට පුළුවන් වෙනවා ඒක Bypass කරන්න. හැබැයි මේ Filters කාලෙන් කාලෙට අලුත් වෙනවා. ඉතින් අපිටත් සිද්ධ වෙනවා කාලේට ගැලපෙන්න හැඩ ගැහෙන්න.

අනික් කතාව තමයි MongoDB වගේ NoSQL Databases නිසා SQLi වැඩක් නැහැ කියලා. එතන පොඩි අවුලක් තියෙනවා. මොකද SQL Injection වැඩක් නැහැ කියන කතාව වැරදී එතන කියවෙන්න ඕනේ මූලිකවම MySQL වල PHP වලදී අපි භාවිතා කරන විදිහේ SQLi ඒ විදිහටම MongoDB වල Javascript වලට භාවිතා කරන්න බැහැ කියලා. මොකද නැත්නම් ඒ තර්කය හරියට අපි පොඩි කාලේ ඉඳන් සිංහල කතා කරපු පළියට වෙන රටක මනුස්සයෙකුත් සිංහල කතා කරන්න ඕනේ කියනවා වගේ වැඩක් එයාට සිංහල බැරිනම් අපේ භාෂාව කල් ඉකුත් වෙලා වගේ වැඩක් තමයි කියලා තියෙන්නේ. MongoDB වලදී අපිට JavaScript injections භාවිතා කරන්න පුළුවන් ඒ කියන්නේ ඒකත් Injection Attacks වලට Vulnerable කියන එකම තමයි.

අනික මෙතන ප්‍රධානම ගැටළුව වෙන්නේ Databases වල නෙවෙයි. ඒක MySQL උනත් MongoDB උනත් අවුල තියෙන්නේ එහෙමත් නැත්නම් Security Issue එක තියෙන්නේ අදාල Database වර්ගයේ නෙවෙයි. ඒ වගකීම පැටවෙන්නේ අදාල Database එක සම්බන්ඳ කරන PHP හරි Javascript හරි අදාල Script එකට. අපි ඔය Vulnerability Fix කරනවා කිය කිය කරන්නේ මූලිකවම ඔන්න ඔය Script එකේ අඩුපාඩු හදන එක.

මම හිතනවා මම කියපු දේ තේරෙන්න ඇති කියලා. අපේ ජීවිතයේ පොඩි කාලේ ඉඳලා එක එක දේවල් ඉගෙනගෙන පරිණත වෙනවා වගේම තමයි. මූලිකව Attack එකක් වෙන විදිහ ඉගෙනගන්න මුල් අදියරේ ඉඳලා ඉගෙනගන්න ඕනේ නැත්නම් ඔයා කලින් කියපු විදිහට "සෑහෙන්න කාලයක් යයි" කියලා තැනින් තැන ඉගෙනගත්තොත් කවදාවත් සම්පූර්ණ වෙන්නේ නැහැ. මම පහළින් දාන කියමනත් පොඩ්ඩක් බලන්න.


"I fear not the man who has practiced 10,000 kicks once, but I fear the man who has practiced one kick 10,000 times."
-Bruce Lee
|+| Knowledge |+| Discipline |+| Patience |+|

Area Master 
(Founder & Info. Sec. Analyst)

Widane Forums
Contact Me: [email protected]
Admin Queries: [email protected]
General Queries: [email protected] 
Reply
#7
භාවිතා වෙන්නේ මොනවද, පරන දේවල් මොනවද කියලා තෝර තෝර ඉගෙන ගන්නවට වඩා ඕනේම දෙයක් ගැන 0 ඉදලා ඉගෙන ගන්න එක වැදගත්. කොයි වෙලාවේ කොහොම ප්‍රශ්නයක් එයිද කියලා අපිට කියන්න බෑ. හැබැයි 0 ඉදලා ඉගෙන ගත්තොත් ඒ කිසිම ප්‍රශ්නෙකට බයවෙන්න ඕනේ නැ. වැඩක් නැ කියලා කිසිම දෙයක් නෑ. 
මම වැඩිය hacking, sql ගැන දන්නේ නැ. ඒවා ඉගෙන ගන්නවා. මගේ අදහසයි මම කිව්වේ..  Rolleyes

(03-30-2019, 04:26 PM)loneprogrammer Wrote: මේකෙ SQL ඩේටාබේස් එකක් කියන්නෙ මොකද්ද? HTTP කියන්නෙ මොකද්ද? Python කියන්නෙ මොකද්ද? PHP වලින් වලින් වැඩ කරන්නෙ කොහොමද? වගේ සරල මාතෘකාවක් වත් කතා කෙරෙනවා. ඔය වගේ දේවල් කතා කෙරෙන threads කිහිපයක් තියෙනවා හැබයි ඒව ඒ තරම් උඩට එන්නෙ නෑ, ඒ කියන්නෙ කට්ටියගෙ උනන්දුව අඩුයි කියන එකනෙ...

ඒවගේ දේවල් තමා ඕනේ.. කාටහරි පුළුවන්නම් ඒ කියපු මාතෘකා ගැන ත්‍රේඩ් ටිකක් දාන්න ඒක ලොකු උදව්වක්.. Heart
<>
.:: [Induwara Uthsara] :: [රතු කුරුල්ලා] ::.
Idea  [Only registered and activated users can see links Click here to register] Idea
 Idea [Only registered and activated users can see links Click here to register]  Idea
</>
Reply
#8
Star 
Quote:මචන්ලා මට පොඩි ප්‍රස්නයක් තියෙනවා. මේ ෆෝරුම් එකේ හුඟක් හැකිං ගැන කතා වෙනවා. මං නම් හැකිං ගැන මහ ලොකු දෙයක් දන්නෙ නෑ. මං නිතරම වගේ මේකෙ දකින දෙයක් තමා SQL Injection. මම JS, PHP වලින් සිස්ටම්ස් හදලා තියෙනවා. ඒ නිසා මං හොඳටම දන්නවා දැන් SQL Injection වලින් වැඩක් නැහැ කියලා. මොකද SQL Injection එකක් වැඩ කරන්න නම් ඔය පාවිච්චි කරන strings කෙලින්ම සර්වර් එකේ ක්‍රියාත්මක වෙන්න ඕනෙ. ඕනෙම web developer කෙනෙක් දන්නවා ඒක කොහෙත්ම වෙන දෙයක් නෙවෙයි කියලා. මොකද හොඳ සිස්ටම් එකක GET හෝ POST මෙතඩ් වලින් ගන්න ඩේටා sanitize කරන්නෙ නැතුව පාවිච්චි කරන්නෙ නෑ. අනික හුඟක් සිස්ටම්ස් MYSQL හරි ඒ වගේ SQL ඩේටාබේස් එකකට කෙලින්ම connect වෙන්නෙ නෑ. හුඟක් වෙලාවට ORM එකක් හරහා තමා අපි ඩේටාබේස් එක පාවිච්චි කරන්නෙ. ඒක ආරක්ෂිතයි වගේම ලේසියි. ඒ කියන්නෙ දැන් SQL Injection වලින් කරන්න පුළුවන් දෙයක් නෑ කියන එක නේද?


SQL Injection එකක් වෙන්න String කෙලින්ම Server එකේ රන් වෙන්න ඕනෙ නෑ. කාලෙකට කලින් එහෙම තමයි උනේ. ඒත් SQL 5.0 ආශ්‍රිත හා ඊට වඩා දියුණු සංස්කරන වලදී මේක නැති උනා. ඒ නිසයි දැන් අපිට SQL Command එකකින් කෙලින්ම Shell එකක් දාගන්න බැරි. ඒක හැම Developer කෙනෙක්ම දැනගත්තෙ SQL 5.0 වලට පස්සෙ. ඊට කලින් තිබුන ඒවගෙ ඒ වගේ දෙයක් තිබුනෙ නෑ. කෙලින්ම Root Access දීලා තිබුනා. ORM එකක් හරහා Connect උනාම Safe කියන්න බෑ. මොකද Packet Spoofing කියලා දේකුත් තියනවා. SQL Inject එකකින් කරන්න පුළුවන් වැඩ ගොඩක් තියනවා. නැත්තම් තාමත් SQLi Bug එකක Bountry එකකට ගොඩක් ලොකු ගානක් ගෙවන්නෙ නෑනෙ. ඒක හරියට භාවිත කරන්න දන්නෙ නැති එකෙයි අවුල තියෙන්නෙ.


Quote:අනිත් එක තමා දැන් SQL, හරියටම කිව්වොත් Relational Databases වලට ලොකු තරඟ කාරයෙක් ඉන්නවා, NoSQL. පාවිච්චියෙ ලේසිය නිසාම දැන් හුඟක් project වලට පාවිච්චි කරන්නෙ MongoDB, Firebase වගේ NoSQL ඩේටාබේසස්. මේවා හුඟක් වෙලාවට cloud providers ලාගෙන් ගන්න නිසා ආරක්ෂාවත් සැලකිය යුතු මට්ටමක තියෙනවා. මේක මං අමතර කරුණක් විදිහට කිව්වෙ, මගේ ප්‍රධාන ප්‍රස්නෙ මං උඩ කියපු එක. මං කැමතියි ඒ ගැන උඹලගෙ අදහස් දැනගන්න.


NoSQL (Not Only SQL) කියන්නෙ ගොඩක් හොද Database වර්ගයක්. ඒත් තාමත් ගොඩක් අය use කරන්නෙ SQL. එක්කො එයාලා තාම Update වෙලා නෑ.


Quote:ප.ලි. උඹලට හිතිලා නැද්ද උඹලා මේ හැකිං කියලා ඉගෙන ගන්නෙ අද කාලෙට කිසි වැදගත්කමක් නැති පරණ පුස්කාපු දැනුමක් කියලා. Information System Security කියන්නෙ මීට වඩා ගොඩක් පුළුල්, මුල් බැහැපු මාතෘකාවක්...

Information System Security කියන්නෙ ගොඩක් ලොකු මාතෘකාවක්. Hacking කියන්නෙ ඒකෙ එක කොටසක් විතරයි. ඒ නිසා Information System Security ගැන හොයන්න කලින් Hacking ගැන හොයලා ඉන්න එකයි හොද.

Elite_x 
(Admin & Marketing Officer)

Widane Forums
Contact Me: [email protected]
Admin Queries: [email protected]
General Queries: [email protected] 
1
Reply
#9
Drupal CMS eke SQI vulnerability eke POC eka poddak balanna. eka me lagadi disclose une. eke oya kiyana vidihata input ekakin wena seen ekak neweyi thiyenne. PHP array ekak use karaddi karapu foolish assumption ekak hinda SQLI valata vulnerable wenne. eka hinda classic SQL injection kiyana theory eka godak parana wenna puluvan. but eken kiyanne ada kale web app vala e wage vulnerabilities ne kiyana eka neweyi.
B.Sc Engineering Student
gov. university of Pera.
Admin At [Only registered and activated users can see links Click here to register]
1
Reply
#10
There is no general fix for SQLi because there is no fix for human stupidity -unknown
Reply




Users browsing this thread: 1 Guest(s)