SourceCodester Çevrimiçi Pizza Sipariş Sisteminde SQL Enjeksiyonu Güvenlik Açığı (CVE-2023-5423)
SourceCodester Online Pizza Ordering System 1.0'da bir SQL enjeksiyonu güvenlik açığı bulundu. Bu güvenlik açığının /admin/ajax.php?action=confirm_order üzerinden SQL enjeksiyonuna izin verdiği bildirildi.
SQL enjeksiyonu, bir saldırganın bir web uygulamasının veritabanına kötü amaçlı SQL sorguları göndermesine olanak tanıyan bir güvenlik açığıdır. Bu sorgular, verileri değiştirmek, silmek veya çalmak için kullanılabilir. SQL enjeksiyon saldırıları genellikle bir web uygulamasının formlarına veya URL parametrelerine özel olarak hazırlanmış girdi gönderilerek gerçekleştirilir.
SourceCodester Online Pizza Sipariş Sistemi'ndeki SQL enjeksiyon açığı, /admin/ajax.php?action=confirm_order rotasının parametrelerini düzgün bir şekilde doğrulamaması nedeniyle oluşur. Bu, bir saldırganın bu parametrelere özel olarak hazırlanmış girdi göndermesine olanak tanır ve bu da onlara veritabanına erişim sağlayabilir.
SourceCodester Online Pizza Sipariş Sistemi'ndeki SQL enjeksiyonu açığı saldırganların şunları yapmasına olanak tanıyabilir:
Veritabanındaki tüm verileri görüntüleyin, değiştirin veya silin.
Kullanıcı hesaplarına erişim sağlayın ve bunları ele geçirin.
Web uygulamasının işlevselliğini bozun veya devre dışı bırakın.
SourceCodester Online Pizza Ordering System 1.0 kullanan kuruluşların bu güvenlik açığını gidermek için uygulamayı en son sürüme yükseltmeleri veya uygulama satıcısından mümkün olan en kısa sürede bir yama almaları önerilir. Kuruluşlar ayrıca web uygulamalarını SQL enjeksiyonu gibi bilinen güvenlik açıklarından korumak için aşağıdaki önlemleri almalıdır:
Tüm kullanıcı girdileri dikkatlice doğrulanmalı ve özel karakterler ve komutlar açısından taranmalıdır.
Veritabanına erişim için parametreli sorgular kullanılmalıdır.
Tüm veritabanı sorguları hazırlanmış ifadeler olmalıdır.
Tüm veritabanı sorguları bir veritabanı güvenlik duvarı tarafından korunmalıdır.
SourceCodester Online Pizza Sipariş Sistemindeki SQL enjeksiyon açığı, web uygulaması güvenliğinin önemini bir kez daha vurgulamaktadır. Kuruluşlar, web uygulamalarını SQL enjeksiyonu gibi bilinen güvenlik açıklarından korumak için gerekli önlemleri almalıdır.