Etiket: web hacking yöntemleri

İletişim Güvenliği Doğrulama Gereksinimleri

Arkadaşlar merhaba bu konuda sizlere İletişim Güvenliği Doğrulama Gereksinimlerinden bahsedim. Kontrol listemizde 3 madde bulunuyor, bu 3 madde için 2 uygulama yapıcaz. HTTP protokolü üzerinden aktarılan veriler herhangi bir şifrelemeye tabi tutulmadığı için ağ üzerinden içeriklere ulaşmak mümkün hale gelir. Wireshark’la Parola Elde Etme adıyla bi uygulama yapıcam ve 3. madde güçlü algoritmalarla, https in…
Devamı

Dosya ve Kaynakların Doğrulama Gereksinimleri

Arkadaşlar merhaba, bu konuda sizlere Dosya ve Kaynakların Doğrulama Gereksinimlerinden bahsedicem. Kontrol listemizi inceleyelim hiç bir web sitesinin barındırıldığı alan sınırsız değildir, paylaşımlı bi hosting kullanılıyorsa bu alan 1gb ile 40 gb arasında değişecektir. Çoğunlukla 1gb ile 10 gb arasında kalır. özel vps veya vds de barındırılıyorsa 40gb ile 120 gb arasından degişecektir. Çoğunlukla 40bg…
Devamı

API ve WEB Servisleri Doğrulama Gereksinimleri

Arkadaşlar merhaba, bu konuda sizlere API ve WEB Servisleri Doğrulama Gereksinimlerinden bahsedicem. Kontrol listemizde daha önce değindiğimiz konularda var, hiç değinmediklerimizde var. Hemen kontrol listesini inceleyelim. SSRF ve RFI Güvenlik açıklarına daha önce değinmiştik web servis yönetim alanının ve fonksiyonlarının sadece servis yöneticileri tarafından erişilebilmesi durumu 4. maddede daha açık anlatılmıştır bilgi ifşası konusundan değildi…
Devamı

HTTP Güvenlik Başlıkları

Arkadaşlar merhaba bu konuda sizlere, HTTP Güvenlik Başlıklarından bahsedicem. Web uygulamalarındaki güvenlik açıklarına karşı tedbirin artırılması amacıyla sunucudan gönderilen cevaplarda bulunması gereken bilgiler. Kontrol listemizdeki ilk 5 sırayı bir önceki konuda işlemiştik, diğerleri için devam ediyoruz. 6. bilgi ifşası sadece web uygulaması uzerinden ortaya çıkmaz, benzer şekilde HTTP başlıkları bölümünde de ortaya çıkabilir, kontrol edilmesi…
Devamı

Kriptografi İşlemleri Doğrulama Gereksinimleri

Arkadaşlar merhaba bu konuda sizlere, Kriptografi İşlemleri Doğrulama Gereksinimlerinden bahsedicem. Burada göreceğimiz bir madde var ve oldukça önemli bir madde; Oracle padding saldırısıyla, parolası bilinmeyen bir kullanıcın hesabına sızılabilir. Bu konudaki uygulamayı gerçekleştirmek için Oracle Padding Sanal Makinesini kullanıyoruz. Oracle Padding de bir kullanıcının cookie bilgisi kırılarak, oluşturulan cookie bilgisinin yapısı çözülür, ardından hedef kullanıcı…
Devamı

Github Subdomain Takeover

Arkadaşlar merhaba, bu konuda sizlere Github Subdomain Takeover konusundan bahsedicem. Bu konuyu bir açığın istismarı olarak da değerlendirebiliriz, bir durumun istismarı olarak da değerlendirebiliriz. Bu işlemi gerçekleştirmek için 2 şartın sağlanmış olması gerekir. 1. Hedef domain veya subdomainin github üzerindeki alanını hosting alanı olarak kullanması2. Bizim github hesabımızın hedef domain veya subdomainle aynı sunucuda bulunmasıBu…
Devamı

Remote File İnclude Açığı

Arkadaşlar merhaba, bu konuda sizlere, RFI güvenlik açığından bahsedicem. Bu güvenlik açığı istismar edilerek, başka sunucudan bulunan bir dosya hedef sistemdeymiş gibi çalıştırılabilir. Bu açıkla sızma işlemi dahil herşey yapılabilir.

OS Command Açığı ve İstismarı

Arkadaşlar merhaba, bu konuda sizlere OS Command Güvenlik açığından ve istismarından bahsedicem. Web uygulamasındaki girdi alanı üzerinden sistem komutlarının çalıştırılmasıyla ortaya çıkan güvenlik açığıdır. Bu açığın bulunduğu web uygulaması linux üzerinde çalışıyorsa linux komutları, windows üzerinde çalışıyorsa windows komutları kullanılır. OS Command’la Sisteme Sızma Bize ait kali makinesinde netcat aracı ile 1234 portunu dinlemeye başlıyoruz.…
Devamı

SQL Güvenlik Açığı

Arkadaşlar merhaba, bu konuda sizlere SQL Güvenlik Açığından bahsedicem. Bu açık, girdi yapılan alanlarda sql sorgu komutlarının kullanılmasıyla ortaya çıkar. Girdi alanı olarak, bi arama bölümüde olabilir, kullanıcı giriş panelide. Aşağıdaki örnekte hedef sitenin arama bölümünde bu açığa rastlıyoruz. SQL GÜVENLİK AÇIĞI İSTİSMARI Bu açığın istismarı için arama bölümüne ‘ karakterini yazıp entere bastığımızda, bilgiler…
Devamı

XSS Güvenlik Açığı

Arkadaşlar merhaba bu konuda sizlere, XSS Güvenlik açığından ve istismarından bahsedicem.Web uygulamalarındaki herhangi bir girdi alanında html ve javascript kodlarının kullanılmasıyla ortaya çıkan güvenlik açığıdır. XSS güvenlik açığının 2 farklı türü(reflected, stored) ve 3 farklı kullanım(reflected, stored,dom) şekli vardır. Tür ve Kullanım – REFLECTEDBu güvenlik açığında kullanılan html ve javascript kodları o an için geçerli…
Devamı