İlişkisel veritabanı yönetim sistemi MySQL’in web sitesi geçtiğimiz hafta sonunda ironik bir biçimde SQL injection saldırısı sonucunda hacklenmiş. Hackerların kullanıcı adı ve şifre parçalarını siteden çekerek pastebin.com adlı siteye yükledikleri belirtiliyor. Buradaki verilerden yola çıkarak ve gök kuşağı tablosu adı verilen şifre kırma yöntemi kullanılarak şifre parçalarından gerçek şifrelerin kolaylıkla elde edilebileceği söyleniyor.
Bir dizi veritabanına çok kullanıcılı erişim imkanı veren ilişkisel veritabanı yönetim sistemi MySQL’in sitesinin SQL injection saldırı yöntemi ile hacklenmesi site için alay konusu olmuş durumda. Ayrıca internet güvenlik firması Sophos’un verdiği bilgilere göre söz konusu saldırı ile MySQL’deki çalışanların dikkatsizlikleri de ortaya konuyor. Örneğin MySQL’deki WordPress ürün yöneticisinin 4 haneli basit bir şifre kullanması bilişim camiası profesyonellerinin bile şifre kullanımında dikkatsiz olabileceklerini gösteriyor.
MySQL hakkında kısaca bilgi vermek gerekirse, söz konusu veritabanı yönetim sistemi altı milyondan fazla sistemde yüklü bulunan çoklu iş parçacıklı ve çok kullanıcılı bir sistem olarak tanıtılmakta. MySQL’in web sunucularda en fazla kullanılan veritabanı yönetim sistemi olduğu söyleniyor. MySQL.com’un hacklenmesinin ise MySQL’deki herhangi bir açıktan değil sitenin uygulama (implamantasyon) açığından kaynaklandığı belirtilmekte.
2008’de 1 milyar Dolar karşılığında Sun tarafından satın alınan, daha sonra ise Oracle’ın Sun’ı alması ile Oracle’a geçen MySQL resmi sitesini yeterince güvenlikli hale getirmediği için son dönemde eleştiri oklarını üzerine çekiyor. Ocak ayında da güvenlik uzmanları tarafından MySQL.com’da XSS açıkları olduğu ortaya çıkmış ancak bu açıkların giderilmesinde son derece yavaş kalındığı açıklanmıştı.
Kısaca saldırıda kullanılan SQL Injection yönteminden de bahsetmek gerekirse; Web uygulamalarında bir çok işlem için kullanıcıdan alınan veri ile dinamik SQL cümlecikleri oluşturulur. Bu SQL cümlecikleri oluşturulurken araya sıkıştırılan herhangi bir meta-karakter SQL Injection’a neden olabilir. Meta-karakter bir program için özel anlamı olan karakterlere verilen isimdir. SQL’ için örnek kritik meta-karakterler tek tırnak işarete (‘) ve noktalı virgül (;) işaretleridir . En basit tabiri ile SQL Injection, SQL cümleciklerinin arasına dışarıdan girdi yaparak SQL’ i istediğiniz şekilde manipüle etmenize izin veren bir saldırı yöntemi.
Kaynak : 