Etiket: site hack programı

Mail Header İnjection (SMTP) Açığı

Arkadaşlar merhaba bu konuda sizlere Mail Header İnjectiondan bahsedicem. Bu güvenlik açığı istismar edilerek, güvenlik açığı bulunan siteden başka bir hedefe e-posta gönderilebilir. Sosyal mühendislik saldırılarında kullanılabilir. Bu konunun uygulaması için bee-box sanal makinesinin içerisindeki bWAPP web uygulamasını kullanıcaz. İlk olarak hedef web sayfasına gidelim. Bu güvenlik açığı istismar edilerek, sosyal mühendislik saldırıları gerçekleştirilebilir. Hedefe güvenilir bir…
Devamı

HTTP Parametre Kirliliği Açığı

Arkadaşlar merhaba, bu konuda sizlere HTTP Parametre Kirliliği konusundan bahsedicem. Bu güvenlik açığında bir URL’de aynı parametrenin birden fazla kez geçmesi halinde, nasıl yorumlanması gerektiğinin bi standardı olmadığı için, bu durum kötüye kullanılabilir. Doğru yapılandırılmamış güvenlik duvarları atlatılabilir. Bu konunun uygulaması için bee-box sanal makinesinin içerisindeki bWAPP web uygulamasını kullanıcaz. İlk olarak hedef web sayfasına…
Devamı

Kötü Amaçlı Girdi Verilerinin Doğrulanması Gereksinimleri

Arkadaşlar merhaba bu konuda sizlere, web uygulamarına yönelik gönderilen girdilerin kontrol gereksinimlerinden bahsedicem. Web uygulama geliştiricisi veya sızma testi uzmanlarının mutlaka üzerinde durması gereken başlıkları içeriyor. Görüldüğü üzere bu kontrol listesi girdi yoluyla istismar edilen güvenlik açıklarından bahsediyor. Buna dayanarak, sonraki konularda HTTP Parametre Kirliliği, SMTP ve İMAP Enjeksiyonu, SSRF, XSS, SQL, LDAP, OS Command,…
Devamı

Directory Browsing/Listing

Arkadaşlar merhaba bu konuda sizlere Directory Browsing/Listing den bahsedicem. Dizin gezinimi olarak türkçeleştirebileceğimiz bu kontrol web uygulaması üzerinden dizinlere ulaşmamızı sağlar. Kritik bir güvenlik açığı diyemeyiz ama bazı özel dosyaların elde edilmesini sağlayabilir. Dolayısıyla web uygulama geliştiricisi ve sızma testi uzmanının dikkat etmesi gereken bir konudur. Bu konuyu daha anlaşılır bir hale getirmek ve uygulama…
Devamı

Erişim Kontrolleri Doğrulama Gereksinimleri

Arkadaşlar merhaba bu konuda sizlere Erişim Kontrollerinden bahsedicem. Web uygulamasının erişim düzeyinde güvenlik açığı barındırıp barındırmadığını değerlendirmemizi sağlayan bi kontrol listesini daha bu konuda işlicez. İlk olarak kontrol listesini inceleyelim. Kullanıcı http protokolünü kullanmak istese bile zorunlu olarak https e yönlendirilmelidir En az yetki ilkesinin kontrol edilmesi için, ilgili kullanıcı hesabıyla yetkili sayfalara erişmeye çalışmak…
Devamı

CSRF Açığı ve İstismarı

Arkadaşlar merhaba bu konuda sizlere CSRF Güvenlik açığından ve istismarından bahsedicem. En anlaşılır şekilde bu güvenlik açığını açıklamak gerekirse, şöyle diyebiliriz. Örnek : hedef sitedeki bir kullanıcının parolası değiştirmek için, farklı bir web sitesini kullanmak. Bu uygulamayı Metasploitable2 üzerine kurulu DVWA da yapıcam. İşlemi LOW düzeyinde gerçekleştiriyoruz. İlgili sayfaya giderek başlayalım.