Etiket: site hack kodları

İletişim Güvenliği Doğrulama Gereksinimleri

Arkadaşlar merhaba bu konuda sizlere İletişim Güvenliği Doğrulama Gereksinimlerinden bahsedim. Kontrol listemizde 3 madde bulunuyor, bu 3 madde için 2 uygulama yapıcaz. HTTP protokolü üzerinden aktarılan veriler herhangi bir şifrelemeye tabi tutulmadığı için ağ üzerinden içeriklere ulaşmak mümkün hale gelir. Wireshark’la Parola Elde Etme adıyla bi uygulama yapıcam ve 3. madde güçlü algoritmalarla, https in…
Devamı

Dosya ve Kaynakların Doğrulama Gereksinimleri

Arkadaşlar merhaba, bu konuda sizlere Dosya ve Kaynakların Doğrulama Gereksinimlerinden bahsedicem. Kontrol listemizi inceleyelim hiç bir web sitesinin barındırıldığı alan sınırsız değildir, paylaşımlı bi hosting kullanılıyorsa bu alan 1gb ile 40 gb arasında değişecektir. Çoğunlukla 1gb ile 10 gb arasında kalır. özel vps veya vds de barındırılıyorsa 40gb ile 120 gb arasından degişecektir. Çoğunlukla 40bg…
Devamı

API ve WEB Servisleri Doğrulama Gereksinimleri

Arkadaşlar merhaba, bu konuda sizlere API ve WEB Servisleri Doğrulama Gereksinimlerinden bahsedicem. Kontrol listemizde daha önce değindiğimiz konularda var, hiç değinmediklerimizde var. Hemen kontrol listesini inceleyelim. SSRF ve RFI Güvenlik açıklarına daha önce değinmiştik web servis yönetim alanının ve fonksiyonlarının sadece servis yöneticileri tarafından erişilebilmesi durumu 4. maddede daha açık anlatılmıştır bilgi ifşası konusundan değildi…
Devamı

HTTP Güvenlik Başlıkları

Arkadaşlar merhaba bu konuda sizlere, HTTP Güvenlik Başlıklarından bahsedicem. Web uygulamalarındaki güvenlik açıklarına karşı tedbirin artırılması amacıyla sunucudan gönderilen cevaplarda bulunması gereken bilgiler. Kontrol listemizdeki ilk 5 sırayı bir önceki konuda işlemiştik, diğerleri için devam ediyoruz. 6. bilgi ifşası sadece web uygulaması uzerinden ortaya çıkmaz, benzer şekilde HTTP başlıkları bölümünde de ortaya çıkabilir, kontrol edilmesi…
Devamı

Bağımlılıklar ve İstenmeyen Bilgi İfşası

Arkadaşlar merhaba bu konuda sizlere, Bağımlılıklar ve İstenmeyen Bilgi İfşası ndan bahsedicem. Kontrol listemizin ilk 5 maddesini inceliyoruz. Güncellik (temalar, eklentiler) default dosyalar(bilgi içerebilir), default kullanıcı adı ve parolalar dış kaynaktan veri çekilmemeli, javascript, css vb. (sağ tık – sayfa kaynağı yoluyla kontrol edilir) hata mesajlarının bilgi ifşası yapmayacak şekilde düzenlenmesi (örnek : kullanıcı adı…
Devamı

Kriptografi İşlemleri Doğrulama Gereksinimleri

Arkadaşlar merhaba bu konuda sizlere, Kriptografi İşlemleri Doğrulama Gereksinimlerinden bahsedicem. Burada göreceğimiz bir madde var ve oldukça önemli bir madde; Oracle padding saldırısıyla, parolası bilinmeyen bir kullanıcın hesabına sızılabilir. Bu konudaki uygulamayı gerçekleştirmek için Oracle Padding Sanal Makinesini kullanıyoruz. Oracle Padding de bir kullanıcının cookie bilgisi kırılarak, oluşturulan cookie bilgisinin yapısı çözülür, ardından hedef kullanıcı…
Devamı

İş Mantığı Doğrulama Gereksinimleri

Arkadaşlar merhaba, bu konuda sizlere İş Mantığı Doğrulama Gereksinimlerinden bahsedicem. Web uygulamaları aynı anda binlerce, onbinlerce kişiye hizmet vermek üzere geliştirildikleri için, işlem hızları buna göre planlanmıştır. Normal insan hızlarıyla kıyaslanmayacak derecede arada fark vardır ama geliştirilen başka bir araç ilgili web uygulamasının hızına yetişebilir hatta geçebilir, böylesi bir durumda da sistem zarar çöküntüye uğrayabilir…
Devamı

Github Subdomain Takeover

Arkadaşlar merhaba, bu konuda sizlere Github Subdomain Takeover konusundan bahsedicem. Bu konuyu bir açığın istismarı olarak da değerlendirebiliriz, bir durumun istismarı olarak da değerlendirebiliriz. Bu işlemi gerçekleştirmek için 2 şartın sağlanmış olması gerekir. 1. Hedef domain veya subdomainin github üzerindeki alanını hosting alanı olarak kullanması2. Bizim github hesabımızın hedef domain veya subdomainle aynı sunucuda bulunmasıBu…
Devamı

Zararlı Kod Doğrulama Gereksinimleri

Arkadaşlar merhaba bu konuda sizlere, Zararlı Kod Doğrulama Gereksinimlerinden bahsedicem. Bazı durumlarda web uygulamasını dışardan incelemek yeterli gelmeyebilir, bizzat kurarak inceleme yapmak gerekebilir. Yukarıdaki 1. ve 2. madde için, Web uygulaması, kaynak dosya kontrolü yapabiliyormu ve bu kaabiliyeti ne derece güçlü şeklinde bir değerlendirmede bulunabiliriz. Bunu tam olarak görmek içinde ilgili sistemi bizzat kurarak test…
Devamı

Mail Header İnjection (SMTP) Açığı

Arkadaşlar merhaba bu konuda sizlere Mail Header İnjectiondan bahsedicem. Bu güvenlik açığı istismar edilerek, güvenlik açığı bulunan siteden başka bir hedefe e-posta gönderilebilir. Sosyal mühendislik saldırılarında kullanılabilir. Bu konunun uygulaması için bee-box sanal makinesinin içerisindeki bWAPP web uygulamasını kullanıcaz. İlk olarak hedef web sayfasına gidelim. Bu güvenlik açığı istismar edilerek, sosyal mühendislik saldırıları gerçekleştirilebilir. Hedefe güvenilir bir…
Devamı