Kategoriler
AstrolojiPopüler KonularYaşam RehberiKariyer TavsiyeleriKişisel GelişimZenginler ve FakirlerSite TanıtımlarıKaranlık İnternet GerçekleriNe? Nedir? Nasıl?Kadim Gizli BilgilerMeditasyon ve OlumlamalarSpiritüalizmSpiritüel Rüya TabirleriYurt Dışında EğitimDualarBilgisayar ve GüvenlikYZ ile Para Kazanma Rehberi
Bilgisayar ve Güvenlik

SQL Injection Öğrenirken Devlet Sitesinde Deneme Yapmaya Kalkarsan Ne Olur?

IYIGOOGLE IYIGOOGLE
Yayınlama Tarihi: 15 January 2025 | Güncelleme Tarihi: 29 April 2025

SQL Injection, web uygulamalarının veri tabanı ile konuştuğu noktada açılan sinsi bir kapıdır. Doğru kullanıldığında bir test ortamında güvenlik açıklarını gösterir. Yanlış kullanıldığında ise; veritabanlarına yetkisiz erişim, veri sızdırma, hatta sistemin kontrolünü ele geçirme gibi çok ciddi sonuçlara yol açabilir. Ve en kötüsü, bu hatayı bir devlet sitesinde yaparsan, eğitim bahanesi seni kurtaramaz. Çünkü sistem sadece kırılmakla kalmaz; kıran kişi iz bırakır, sorumluluk doğar ve yasal süreç başlar. Şimdi, bu “merakla başlayan ve pişmanlıkla biten” senaryonun iç yüzünü açıyoruz.

Öncelikle: SQL Injection Nedir ve Ne Yapar?

SQL Injection, bir web sitesinin veri tabanına gönderilen sorguların içerisine kullanıcı girdisi yoluyla zararlı SQL kodlarının enjekte edilmesidir. Bu tür saldırılarla:

  • Yetkisiz veri görüntüleme (örneğin vatandaş bilgileri, T.C. kimlik numaraları)
  • Admin girişi olmadan yönetim paneline erişim
  • Veritabanı tablolarının yapısal analizleri
  • Dosya sistemine sızma

gibi işlemler yapılabilir. Ancak fark şu ki: bunu bir test ortamında yapmak eğitimdir; bir devlet sitesinde yapmak suçtur. Üstelik ciddi bir suç.

Devlet Sitesinde SQL Injection Denemesi Yaparsan Ne Olur?

1. Saldırı Anında Kayıt Altına Alınırsın

  • Devlet sistemleri SIEM (Security Information and Event Management) araçları ile sürekli izlenir
  • Her GET ve POST isteği, IP adresi, tarayıcı bilgisi ve içerik analiziyle loglanır
  • ' OR '1'='1gibi klasik SQLi ifadeleri, otomatik olarak “saldırı kalıbı” olarak işaretlenir

Yani sadece bir test niyetiyle bile olsa, sistem seni bir saldırgan olarak tanımlar. Ve artık ekranın karşısında değil, adli sürecin ortasındasındır.

2. TCK’ya Göre Suç İşlemiş Olursun

Türk Ceza Kanunu 243 ve 244. maddelerine göre:

  • Bir bilişim sistemine yetkisiz olarak erişmek (243/1)
  • Verileri bozmak, yok etmek veya değiştirmek (243/2)
  • Sisteme zarar vermek, işleyişi engellemek (244/1)
  • Verileri hukuka aykırı olarak elde etmek veya yaymak (243/3, 244/3)

bu fiiller 1 yıldan 6 yıla kadar hapis cezası ile yargılanmanıza sebep olabilir. Ceza ertelenmeyebilir. Çünkü devlet sistemleri “kritik altyapı” kapsamında değerlendirilir.

3. “Eğitim İçindi” Savunması İşe Yaramaz

Hakim karşısında “ben sadece öğrenmek istiyordum” demek, TCK’ya göre bir mazeret değildir. Hangi niyetle olursa olsun, eğer yetkisiz giriş yapıldıysa:

  • Kasten yapılmış sayılır
  • Ceza indirimine neden olmaz
  • Kayıtların silinmemesi nedeniyle deliller kalıcı olur

Ve unutma: test yapmak için izin gerekir. Yetkisiz deneme yapmak ise doğrudan ihlal anlamına gelir.

Gerçek Hayattan Vaka: Sadece Eğitimdi Diyen Öğrenci

2021 yılında bir öğrenci, SQL Injection tekniğini öğrendiği sitedeki örneği bir kamu kurumunun anket formunda denedi. Formdan elde ettiği hata mesajıyla “acaba veritabanı açık mı?” merakı başladı. 15 dakika içinde yaklaşık 6 farklı SQL komutu gönderdi. Sistem otomatik olarak bu trafiği saptadı, logladı ve IP adresi Bilgi Teknolojileri Kurumu’na raporlandı. 3 hafta sonra öğrenciye savcılıktan çağrı kağıdı ulaştı. “Eğitim yapıyordum” demesi cezai sorumluluğunu ortadan kaldırmadı. Sonuç: 1 yıl 3 ay hapis cezası — hükmün açıklanması geri bırakıldı ama sabıkaya yazıldı.

Bu Hataları Yaparsan Ne Olur?

  • Hukuki işlem başlatılır
  • BTK üzerinden IP adresin tespit edilir
  • Log kayıtları delil olur, silinemez
  • Devlet sistemine saldırı suçu “ağırlaştırılmış bilişim suçu” sayılır
  • Gelecekte kamuya memuriyet, güvenlik birimlerinde iş, vize gibi işlemlerde engel oluşturabilir

Doğru Eğitim Nasıl Olmalı?

Eğer gerçekten öğrenmek istiyorsan:

  • TryHackMe, Hack The Box gibi legal platformlarda senaryolar üzerinde çalış
  • DVWA (Damn Vulnerable Web Application), bWAPP, WebGoat gibi lokal açık kaynak eğitim ortamlarını kur
  • Yasal izin alınmamış hiçbir gerçek site üzerinde asla test yapma

Ve Bilinmesi Gereken Derin Gerçek

Merak, öğrenmenin kıvılcımıdır. Ama bilgi, sadece neyi yapabileceğini değil; neyi yapmaman gerektiğini de bilmektir. SQL Injection, güçlü bir tekniktir. Ama hangi kapıda denendiği, sonucu belirler. Devlet kapıları sadece merakla çalınmaz. Çünkü dijital dünyada her tıklama bir iz bırakır. Ve o iz, senin geleceğini şekillendirebilir. Bu yüzden test etmek istiyorsan, önce hedefin kim olduğunu iyi bil. Aksi hâlde öğrenmek isterken kaybeden olursun.