Yazar: Abdulkerim Demir

1
OWASP DVWA – SQL Injection (Düşük Seviye): SQL Enjeksiyonu Olan Uygulamada Veritabanı Kullanıcılarına Ait Kimlik Bilgilerinin Elde Edilmesi
2
OWASP DVWA – File Inclusion (Düşük Seviye): Yerel ve Uzak Dosya Dahil Etme Zafiyetinin Fimap Aracı ile Tespiti ve MSF php_include Modülü ile İstismar Edilmesi
3
Erişim Sağlanan WordPress Yönetim Arayüzünde Pentestmonkey PHP Kodunun Gömülerek İşletim Sistemine Erişim Sağlanması
4
OWASP DVWA – Cross Site Request Forgery (CSRF) (Düşük Seviye): GET Metodu ile Kimlik Bilgilerini Taşıyan Sayfada CSRF Zafiyetinin İstismar Edilmesi
5
Erişim Sağlanan WordPress Yönetim Arayüzünde MSFVenom Payload Creator ile Oluşturulan PHP Kodunun Gömülerek İşletim Sistemine Erişim Sağlanması
6
OWASP DVWA – Command Execution (Düşük Seviye): Web Uygulama Açıklığının İstismar Edilerek İşletim Sistemi Üzerinde Komut Çalıştırma
7
Sosyal Mühendislik Saldırılarında OWA (Outlook Web Access)

OWASP DVWA – SQL Injection (Düşük Seviye): SQL Enjeksiyonu Olan Uygulamada Veritabanı Kullanıcılarına Ait Kimlik Bilgilerinin Elde Edilmesi

Web uygulamaları sızma testleri sırasında hedef uygulama üzerindeki bir kontrol eksikliği sebebi ile veritabanından bir takım bilgiler elde edilebilir. Bu yazıda, OWASP DVWA (Damn Vulnerable Web App) üzerindeki düşük zorluk seviyesindeki SQL Injection açıklığı istismar edilecek ve veritabanı kullanıcılarına ait kimlik bilgileri elde edilecektir.

Devamını Oku

OWASP DVWA – File Inclusion (Düşük Seviye): Yerel ve Uzak Dosya Dahil Etme Zafiyetinin Fimap Aracı ile Tespiti ve MSF php_include Modülü ile İstismar Edilmesi

Web uygulamaları sızma testleri sırasında hedef uygulama üzerindeki bir kontrol eksikliği sebebi ile beklenmeyen dosyalar web uygulaması tarafından çalıştırılabilir. Bu yazıda, OWASP DVWA (Damn Vulnerable Web App) üzerindeki düşük zorluk seviyesindeki File Inclusion açıklığı tespit edilerek manuel ve otomatik olarak istismar edilecektir.

Devamını Oku

Erişim Sağlanan WordPress Yönetim Arayüzünde Pentestmonkey PHP Kodunun Gömülerek İşletim Sistemine Erişim Sağlanması

Web uygulaması sızma testleri sırasında erişilen web uygulaması üzerinden işletim sisteminde kod çalıştırılabilir. Bu yazıda yönetici hakları ile erişim sağlanan WordPress yönetim arayüzü bir PHP kodunun (webshell backdoor) şablon sayfası olarak hedefe yüklenmesi yolu ile istismar edilecek ve işletim sistemine erişim sağlanacaktır.

Devamını Oku

OWASP DVWA – Cross Site Request Forgery (CSRF) (Düşük Seviye): GET Metodu ile Kimlik Bilgilerini Taşıyan Sayfada CSRF Zafiyetinin İstismar Edilmesi

Web uygulamaları sızma testleri sırasında hedef uygulama üzerindeki bir kontrol eksikliği sebebi ile oturum açmış kullanıcı yetkileri ile işlem gerçekleştirilebilir. Bu yazıda, OWASP DVWA (Damn Vulnerable Web App) üzerindeki düşük zorluk seviyesindeki Cross Site Request Forgery (CSRF) açıklığı istismar edilecek ve hedef uygulamayı kullanan kurbanın parolası değiştirilecektir.

Devamını Oku

Erişim Sağlanan WordPress Yönetim Arayüzünde MSFVenom Payload Creator ile Oluşturulan PHP Kodunun Gömülerek İşletim Sistemine Erişim Sağlanması

Web uygulaması sızma testleri sırasında erişilen web uygulaması üzerinden işletim sisteminde kod çalıştırılabilir. Bu yazıda yönetici hakları ile erişim sağlanan WordPress yönetim arayüzü MSFVenom Payload Creator ile hazırlanan bir PHP kodunun (webshell backdoor) hedefe eklenti olarak yüklenmesi yolu ile istismar edilecek ve işletim sistemine Meterpreter ile erişim sağlanacaktır.

Devamını Oku

OWASP DVWA – Command Execution (Düşük Seviye): Web Uygulama Açıklığının İstismar Edilerek İşletim Sistemi Üzerinde Komut Çalıştırma

Web uygulamaları sızma testleri sırasında hedef uygulama üzerindeki bir kontrol eksikliği sebebi ile işletim sisteminde komut çalıştırılabilir. Bu yazıda, OWASP DVWA (Damn Vulnerable Web App) üzerindeki düşük zorluk seviyesindeki Command Execution açıklığı istismar edilecek ve hedef uygulamayı barındıran işletim sistemi üzerinde komut çalıştırılacaktır.

Devamını Oku

Sosyal Mühendislik Saldırılarında OWA (Outlook Web Access)

Microsoft posta (Exchange) sunucuları e-posta alışverişlerinde kullanılan bir sistemdir. Kurumlarda, kullanıcıların (personelin) e-posta işlemlerini, başta Microsoft Outlook uygulaması ve Outlook Web Access olmak üzere yapabileceği birçok yol vardır. Posta işlemlerinin internet erişimi olan her yerde kullanılabilmesi ve web tarayıcı haricinde bir uygulamaya bağımlılığı olmaması OWA’nın önemini arttırmaktadır. Bu yazıda kurumlar için önemli olan OWA servisinin Sosyal Mühendislik saldırılarında kullanılmasını engelleyici birkaç önlem sunabilmektir.

Devamını Oku

Bu sayfada incelenen konulardan doğacak sorunlar kişinin kendi sorumluluğundadır.