Arşiv:Temmuz 2017

1
OWASP DVWA – File Upload (Orta Seviye): Dosya Yükleme Zafiyeti Bulunan Uygulamaya Hazırlanan PHP Dosyasının Yüklenmesi ve İşletim Sisteminde Komut Çalıştırılması
2
OWASP DVWA – File Upload (Düşük Seviye): Dosya Yükleme Zafiyeti Bulunan Uygulamaya Weevely ile Hazırlanan PHP Dosyasının Yüklenmesi ve Kabuk Erişiminin Elde Edilmesi
3
Port Knocking (Girmeden Önce Kapıyı Çalma) Kavramı
4
Uygun Yapılandırılmamış Web Uygulamalarında WebDAV Uzantısı ve Anonim FTP Servisi Kötüye Kullanılarak İşletim Sistemi Üzerinde Komut Çalıştırılması

OWASP DVWA – File Upload (Orta Seviye): Dosya Yükleme Zafiyeti Bulunan Uygulamaya Hazırlanan PHP Dosyasının Yüklenmesi ve İşletim Sisteminde Komut Çalıştırılması

Web uygulamaları sızma testleri sırasında hedef uygulama üzerindeki bir kontrol eksikliği sebebi ile hedef sunucuya beklenmedik tipte dosyalar yüklenebilir. Bu yazıda, OWASP DVWA (Damn Vulnerable Web App) üzerindeki orta zorluk seviyesindeki File Upload açıklığı istismar edilecek ve hedef uygulamanın komut satırına erişim sağlanacaktır.

Devamını Oku

OWASP DVWA – File Upload (Düşük Seviye): Dosya Yükleme Zafiyeti Bulunan Uygulamaya Weevely ile Hazırlanan PHP Dosyasının Yüklenmesi ve Kabuk Erişiminin Elde Edilmesi

Web uygulamaları sızma testleri sırasında hedef uygulama üzerindeki bir kontrol eksikliği sebebi ile hedef sunucuya beklenmedik tipte dosyalar yüklenebilir. Bu yazıda, OWASP DVWA (Damn Vulnerable Web App) üzerindeki düşük zorluk seviyesindeki File Upload açıklığı istismar edilecek ve hedef uygulamanın komut satırına erişim sağlanacaktır.

Devamını Oku

Port Knocking (Girmeden Önce Kapıyı Çalma) Kavramı

Sunucu olarak kullanılan bir sistem, portlarına belli sıra ile gelen taleplere göre işletim sisteminde komut çalıştırılması sağlanabilir. Böylece hedef sistemde bir arka kapı yerleştirilmiş de olunur. Bu yazıda Billy Madison sanal makinesi üzerinde Port Knocking (Girmeden Önce Kapıyı Çalma) kavramı incelenecektir.

Devamını Oku

Uygun Yapılandırılmamış Web Uygulamalarında WebDAV Uzantısı ve Anonim FTP Servisi Kötüye Kullanılarak İşletim Sistemi Üzerinde Komut Çalıştırılması

WebDAV özelliği etkinleştirilmiş ve anonim FTP servisi sunan web uygulamalarında yeterli güvenlik önlemleri alınmamışsa, bu yapılandırmalar kötüye kullanılabilir. Bu yazıda Bee-Box sanal makinesi üzerinde ortak olarak yapılandırılmış WebDAV dizini ve anonim FTP dizinine bir zararlı web shell dosyası atılacak ve işletim sisteminin komut satırına erişim sağlanacaktır.

Devamını Oku

Bu sayfada incelenen konulardan doğacak sorunlar kişinin kendi sorumluluğundadır.