1 / 14

İçindekiler

İçindekiler . B.Urgun ve M.Timur. Amaç Kullanılan Araçlar Web Uygulaması ve Matris Resimleri İkili Arama Arama & Veri Çekme Algoritmaları İkili Arama & Bisection Union Hata Tabanlı Derin Kör İkli Arama & Bisection Yapılabilecek Optimizasyonlar Linkler & Bitiş. SQLiBench.

imala
Download Presentation

İçindekiler

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. İçindekiler B.Urgun ve M.Timur • Amaç • Kullanılan Araçlar • Web Uygulaması ve Matris Resimleri • İkili Arama • Arama & Veri Çekme Algoritmaları • İkili Arama & Bisection • Union • Hata Tabanlı • Derin Kör • İkli Arama & Bisection • Yapılabilecek Optimizasyonlar • Linkler & Bitiş

  2. SQLiBench B.Urgun ve M.Timur • Amaç? • SQL Enjeksiyonu zafiyetlerini otomatik olarak exploit eden uygulamaların karşılaştırmak • SQL Enjeksiyonu tekniklerini standartlaştırmak • Kullanılan algoritmaları incelemek

  3. SQL Injection, bitmedi mi ? B.Urgun ve M.Timur SQL Injection hala, çok görülen ve en kritik web uygulaması zafiyeti

  4. SQLiBench B.Urgun ve M.Timur • Kullanılan Araçlar • BSQL Hacker, Ferruh Mavituna • Absinthe, Nummish • sqlmap, Bernardo Damele ve Daniele Bellucci • sqlix, Cedric COCHIN • Sqlget, Francisco Amato • Pangolin, ZwelL

  5. Interactive Web Application B.Urgun ve M.Timur

  6. Arama & Veri Çekme Algoritmaları B.Urgun ve M.Timur • İkili Arama & Bisection • Union • sqlmap,sqlget • Hata Tabanlı • pangolin,BSQL Hacker • 1 istekte, istenilen bilgi çekilebilir • Derin Kör • BSQL Hacker • Karakter başına 2 istek.

  7. İkili Arama B.Urgun ve M.Timur • Giriş • Bilgisayar bilimleri literatüründeki klasik ikili arama algoritmasıdır. • Elimizdeki sayıların sıralı olması dışında bilgimiz yoksa, algoritma optimaldir. • Zaman Karmaşıklığı • f(n) = Θ(log n) • n : arama yapılacak kümenin eleman sayısı

  8. İkili Arama Pratiği B.Urgun ve M.Timur

  9. İkili Arama & Bisection - II B.Urgun ve M.Timur • Karakter setimiz belli : • Okunabilir karakter seti ASCII 32-126 arasında ! • Bu durumda : • f(n) = Θ(log n) • f(126-32) = Θ(log 126-32)‏ • ~7 karşılaştırmada tüm karakterlere erişilebilir

  10. Yapılabilecek Optimizasyonlar B.Urgun ve M.Timur • Karakter Kümesi • Normal karakter kümesi boyutu ASCII 126 'dan 32'ye kadar : 94 karakter. • uppercase,lowercase gibi dbms fonksiyonları ile karakter kümesi dörtte birine indirilebilir. • ASCII 65-90 (A-Z)‏

  11. Yapılabilecek Optimizasyonlar - II B.Urgun ve M.Timur • ASCII 97-122küçük harfler • ASCII 32-64

  12. Yapılabilecek Optimizasyonlar - III B.Urgun ve M.Timur • Bu şekilde, bir karakteri bulabilmek için yapılacak karşılaştırma sayısı (maximum) 7'den 5 'e düşer. • f(90-65) = Θ(log 90-65) = ~5 • Ama karakter bulunamazsa, diğer alt ağaçlardan birinde aranmaya devam edecek demektir. Bu da aramayı 10 karakter'e kadar çıkarabilir.

  13. Linkler & Bitiş B.Urgun ve M.Timur • İnteraktif Web Uygulaması : http://www.webguvenligi.org/sqlibench/web/index.php • Google Code Proje Sayfası :http://code.google.com/p/sqlibench/ • OWASP Proje Sayfasıhttp://www.owasp.org/index.php/Category:OWASP_Sqlibench_Project • Otomatize SQL Enjektörleri Analizi v1.0http://www.webguvenligi.org/sqlibench/

More Related