Yazar: admin

Kriptografi İşlemleri Doğrulama Gereksinimleri

Arkadaşlar merhaba bu konuda sizlere, Kriptografi İşlemleri Doğrulama Gereksinimlerinden bahsedicem. Burada göreceğimiz bir madde var ve oldukça önemli bir madde; Oracle padding saldırısıyla, parolası bilinmeyen bir kullanıcın hesabına sızılabilir. Bu konudaki uygulamayı gerçekleştirmek için Oracle Padding Sanal Makinesini kullanıyoruz. Oracle Padding de bir kullanıcının cookie bilgisi kırılarak, oluşturulan cookie bilgisinin yapısı çözülür, ardından hedef kullanıcı…
Devamı

İş Mantığı Doğrulama Gereksinimleri

Arkadaşlar merhaba, bu konuda sizlere İş Mantığı Doğrulama Gereksinimlerinden bahsedicem. Web uygulamaları aynı anda binlerce, onbinlerce kişiye hizmet vermek üzere geliştirildikleri için, işlem hızları buna göre planlanmıştır. Normal insan hızlarıyla kıyaslanmayacak derecede arada fark vardır ama geliştirilen başka bir araç ilgili web uygulamasının hızına yetişebilir hatta geçebilir, böylesi bir durumda da sistem zarar çöküntüye uğrayabilir…
Devamı

Github Subdomain Takeover

Arkadaşlar merhaba, bu konuda sizlere Github Subdomain Takeover konusundan bahsedicem. Bu konuyu bir açığın istismarı olarak da değerlendirebiliriz, bir durumun istismarı olarak da değerlendirebiliriz. Bu işlemi gerçekleştirmek için 2 şartın sağlanmış olması gerekir. 1. Hedef domain veya subdomainin github üzerindeki alanını hosting alanı olarak kullanması2. Bizim github hesabımızın hedef domain veya subdomainle aynı sunucuda bulunmasıBu…
Devamı

Zararlı Kod Doğrulama Gereksinimleri

Arkadaşlar merhaba bu konuda sizlere, Zararlı Kod Doğrulama Gereksinimlerinden bahsedicem. Bazı durumlarda web uygulamasını dışardan incelemek yeterli gelmeyebilir, bizzat kurarak inceleme yapmak gerekebilir. Yukarıdaki 1. ve 2. madde için, Web uygulaması, kaynak dosya kontrolü yapabiliyormu ve bu kaabiliyeti ne derece güçlü şeklinde bir değerlendirmede bulunabiliriz. Bunu tam olarak görmek içinde ilgili sistemi bizzat kurarak test…
Devamı

Veri Koruma Doğrulama Gereksinimleri

Arkadaşlar merhaba bu konuda sizlere, Veri Koruma Doğrulama Gereksinimlerinden bahsedicem. Bu konuda işleyeceğimiz maddeler sisteme doğrudan zarar verecek maddeler olmasa da kullanıcı hesaplarını tehlikeye sokabilecek türden olabilirler. Birinci ve İkinci maddedeki bilgilerin kontrolü için, ilgili web sayfasındayken Sağ Tık > İncele > Application > Cache ve Storage Alanları incelenir. Hassas bilgi içerip içermediği kontrol edilir.

Remote File İnclude Açığı

Arkadaşlar merhaba, bu konuda sizlere, RFI güvenlik açığından bahsedicem. Bu güvenlik açığı istismar edilerek, başka sunucudan bulunan bir dosya hedef sistemdeymiş gibi çalıştırılabilir. Bu açıkla sızma işlemi dahil herşey yapılabilir.

OS Command Açığı ve İstismarı

Arkadaşlar merhaba, bu konuda sizlere OS Command Güvenlik açığından ve istismarından bahsedicem. Web uygulamasındaki girdi alanı üzerinden sistem komutlarının çalıştırılmasıyla ortaya çıkan güvenlik açığıdır. Bu açığın bulunduğu web uygulaması linux üzerinde çalışıyorsa linux komutları, windows üzerinde çalışıyorsa windows komutları kullanılır. OS Command’la Sisteme Sızma Bize ait kali makinesinde netcat aracı ile 1234 portunu dinlemeye başlıyoruz.…
Devamı

SQL Güvenlik Açığı

Arkadaşlar merhaba, bu konuda sizlere SQL Güvenlik Açığından bahsedicem. Bu açık, girdi yapılan alanlarda sql sorgu komutlarının kullanılmasıyla ortaya çıkar. Girdi alanı olarak, bi arama bölümüde olabilir, kullanıcı giriş panelide. Aşağıdaki örnekte hedef sitenin arama bölümünde bu açığa rastlıyoruz. SQL GÜVENLİK AÇIĞI İSTİSMARI Bu açığın istismarı için arama bölümüne ‘ karakterini yazıp entere bastığımızda, bilgiler…
Devamı

XSS Güvenlik Açığı

Arkadaşlar merhaba bu konuda sizlere, XSS Güvenlik açığından ve istismarından bahsedicem.Web uygulamalarındaki herhangi bir girdi alanında html ve javascript kodlarının kullanılmasıyla ortaya çıkan güvenlik açığıdır. XSS güvenlik açığının 2 farklı türü(reflected, stored) ve 3 farklı kullanım(reflected, stored,dom) şekli vardır. Tür ve Kullanım – REFLECTEDBu güvenlik açığında kullanılan html ve javascript kodları o an için geçerli…
Devamı

Sunucu Taraflı İstek Sahteciliği (SSRF)

Arkadaşlar merhaba bu konuda sizlere SSRF Güvenlik Açığından ve İstismarından bahsedicem. Sunucu taraflı bu güvenlik açığı kullanılarak güvenlik duvarı atlatılıp sunucudan bilgiler elde edilebilir. Bu konunun uygulaması için bee-box sanal makinesinin içerisindeki bWAPP web uygulamasını kullanıcaz. İlk olarak hedef web sayfasına gidelim.