MARC details
| 000 -LEADER |
|---|
| fixed length control field |
05935nam a2200481 i 4500 |
| 003 - CONTROL NUMBER IDENTIFIER |
|---|
| control field |
TR-AnTOB |
| 005 - DATE AND TIME OF LATEST TRANSACTION |
|---|
| control field |
20230908000953.0 |
| 007 - PHYSICAL DESCRIPTION FIXED FIELD--GENERAL INFORMATION |
|---|
| fixed length control field |
ta |
| 008 - FIXED-LENGTH DATA ELEMENTS--GENERAL INFORMATION |
|---|
| fixed length control field |
171111s2020 xxu e mmmm 00| 0 eng d |
| 035 ## - SYSTEM CONTROL NUMBER |
|---|
| System control number |
(TR-AnTOB)200442063 |
| 040 ## - CATALOGING SOURCE |
|---|
| Original cataloging agency |
TR-AnTOB |
| Language of cataloging |
eng |
| Description conventions |
rda |
| Transcribing agency |
TR-AnTOB |
| 041 0# - LANGUAGE CODE |
|---|
| Language code of text/sound track or separate title |
Türkçe |
| 099 ## - LOCAL FREE-TEXT CALL NUMBER (OCLC) |
|---|
| Classification number |
TEZ TOBB FBE BİL YL’20 KAY |
| 100 1# - MAIN ENTRY--PERSONAL NAME |
|---|
| Personal name |
Kaya, Ahmet Selim |
| Relator term |
author |
| 9 (RLIN) |
131484 |
| 245 10 - TITLE STATEMENT |
|---|
| Title |
Veritabanı yönetim sistemlerine yönelik bağlantı sonrası saldırılar / |
| Statement of responsibility, etc. |
Ahmet Selim Kaya ; thesis advisor Ali Aydın Selçuk. |
| 246 11 - VARYING FORM OF TITLE |
|---|
| Title proper/short title |
Post connection attacks to database management systems |
| 264 #1 - PRODUCTION, PUBLICATION, DISTRIBUTION, MANUFACTURE, AND COPYRIGHT NOTICE |
|---|
| Place of production, publication, distribution, manufacture |
Ankara : |
| Name of producer, publisher, distributor, manufacturer |
TOBB ETÜ Fen Bilimleri Enstitüsü, |
| Date of production, publication, distribution, manufacture, or copyright notice |
2020. |
| 300 ## - PHYSICAL DESCRIPTION |
|---|
| Extent |
xvi, 59 pages : |
| Other physical details |
illustrations ; |
| Dimensions |
29 cm |
| 336 ## - CONTENT TYPE |
|---|
| Content type term |
text |
| Content type code |
txt |
| Source |
rdacontent |
| 337 ## - MEDIA TYPE |
|---|
| Media type term |
unmediated |
| Media type code |
n |
| Source |
rdamedia |
| 338 ## - CARRIER TYPE |
|---|
| Carrier type term |
volume |
| Carrier type code |
nc |
| Source |
rdacarrier |
| 502 ## - DISSERTATION NOTE |
|---|
| Dissertation note |
Tez (Yüksek Lisans Tezi)--TOBB ETÜ Fen Bilimleri Enstitüsü Aralık 2020 |
| 520 ## - SUMMARY, ETC. |
|---|
| Summary, etc. |
Son yıllarda veri kullanımının ve miktarının artmasıyla birlikte veritabanı yönetim sistemleri de önem kazanmıştır. Teknoloji, sağlık, finans, eğlence, vb gibi birçok sektörde sıklıkla kullanılması ve kritik öneme sahip veri barındırması ile birlikte veritabanı sistemlerine yapılan saldırılar da günden güne artış göstermektedir. Yapılan literatür taramasının ardından akademideki çalışmaların ağırlıklı olarak saldırı tespit sistemleri ve savunma yöntemleri üzerine yapıldığı, saldırı üzerine yapılan çalışmaların ise bir sistem özelinde değil genel geçer yöntemleri içerdiği tespit edilmiştir. Bundan dolayı bu çalışmada sisteme özgü saldırı yöntemleri incelenerek akademiye katkı vermek amaçlanmıştır. Bu çalışmada, dünya genelinde sıklıkla kullanılan veritabanı yönetim sistemlerinden olan MySQL, PostgreSQL ve Microsoft SQL Server ürünleri, veritabanına başarılı bir şekilde erişim sağlayan ve ardından sistemi tamamen ele geçirmek isteyen bir saldırganın gözünden incelenmiştir. Bu doğrultuda ilgili sistemlerin kimlik doğrulama mekanizmaları ve denetimleri, veri içe-dışa aktarım mekanizmaları, veritabanı programı içerisinde sunmuş oldukları işlevler, bu işlevlerin denetimleri ve nasıl kötüye kullanılabileceği, potansiyel saldırı yüzeyleri incelenmiştir. Ardından tespit edilen zayıflıklara yönelik saldırılar incelenmiş ve uygulamalı bir şekilde gerçekleştirilmiştir. Sonraki adım olarak, Türkiye'de bu veritabanı yönetim sistemlerini kullanan sistemlerin IP adresleri siber tehdit istihbarat platformları tarafından elde edilmiş, bu sistemlere yönelik güvenlik taramaları gerçekleştirilmiştir. Tarama denetimlerinin daha hızlı bir şekilde gerçekleştirilebilmesi için, tarafımızca bu tez çalışmasına yönelik olarak Zephyr adlı bir araç geliştirilmiş ve kullanılmıştır. Bu aracın çalışma mekanizmaları tanıtıldıktan sonra, elde edilen IP adreslerine yönelik gerçekleştirilen taramaların sonuçları değerlendirilmiştir. Son olarak, yapılan araştırmalar ve tarama sonuçları ışığında ilgili veritabanı yönetim sistemi değerlendirilmiş, çok iyi yaptıkları veya eksik oldukları yönler tartışılmıştır. |
|
|---|
| Summary, etc. |
With the increase in the use and amount of data in recent years, database management systems have also gained importance. As it is frequently used in many sectors such as technology, health, finance, entertainment, etc. and contains critical data, attacks on database systems are increasing day by day. After the literature review, it was determined that the studies in the academy were mainly focused on intrusion detection systems and defense methods, and the studies on the attack included common methods rather than system-spesific tecniques. Therefore, this study aims to contribute to the academy by examining system-specific attack methods. In this study, MySQL, PostgreSQL and Microsoft SQL Server products, which are among the frequently used database management systems around the world, were examined from the point of view of an attacker who successfully accessed the database and then desired to take over the system completely. In this direction, the authentication mechanisms and controls, data import-export mechanisms, the functions they offer within the database program, the controls of these functions and how they can be abused, potential attack surfaces have been examined. Then, the attacks against the detected weaknesses were examined and implemented in a practical manner. As a next step, the IP addresses of systems that use this database management systems in Turkey obtained by cyber threat intelligence platforms, and security investigation for these systems was carried out. A tool called Zephyr has been developed and used by us for this thesis study in order to carry out scanning inspections faster. After the working mechanisms of this tool were introduced, the results of the scans made for the obtained IP addresses were evaluated. Finally, the relevant database management systems were evaluated in the light of the research and scanning results, and the aspects they did very well or they lacked were discussed. |
| 653 ## - INDEX TERM--UNCONTROLLED |
|---|
| Uncontrolled term |
Veritabanı yönetim sistemleri |
|
|---|
| Uncontrolled term |
Veritabanı saldırıları |
|
|---|
| Uncontrolled term |
MySQL |
|
|---|
| Uncontrolled term |
PostgreSQL |
|
|---|
| Uncontrolled term |
Microsoft SQL Server |
|
|---|
| Uncontrolled term |
Bağlantı sonrası saldırılar |
|
|---|
| Uncontrolled term |
Sistemi ele geçirme |
|
|---|
| Uncontrolled term |
Database management systems |
|
|---|
| Uncontrolled term |
Database attacks |
|
|---|
| Uncontrolled term |
MySQL |
|
|---|
| Uncontrolled term |
PostgreSQL |
|
|---|
| Uncontrolled term |
Microsoft SQL Server |
|
|---|
| Uncontrolled term |
Post connection attacks |
|
|---|
| Uncontrolled term |
System take over |
| 700 1# - ADDED ENTRY--PERSONAL NAME |
|---|
| Personal name |
Selçuk, Ali Aydın |
| 9 (RLIN) |
126357 |
| Relator term |
advisor |
| 710 ## - ADDED ENTRY--CORPORATE NAME |
|---|
| Corporate name or jurisdiction name as entry element |
TOBB Ekonomi ve Teknoloji Üniversitesi. |
| Subordinate unit |
Fen Bilimleri Enstitüsü |
| 9 (RLIN) |
77078 |
| 942 ## - ADDED ENTRY ELEMENTS (KOHA) |
|---|
| Koha item type |
Thesis |
| Source of classification or shelving scheme |
Other/Generic Classification Scheme |
