Skipfish Aracı ile Web Uygulamalarına Yönelik Güvenlik Taramasının Gerçekleştirilmesi
Web uygulamaları sızma testleri sırasında uygulama üzerindeki zafiyetlerin otomatik araçlarla tespit edilebilmesi gerekebilemektedir. Bu yazıda, Kioptrix (Seviye - 1.2) sanal makinesine Skipfish aracı ile...
OWASP DVWA – Brute Force (Düşük Seviye): Burp Suite ile Kimlik...
Web uygulamaları sızma testleri sırasında kaba kuvvet saldırıları ile hedef uygulamaya giriş yapılmaya çalışılabilir. Bu yazıda, OWASP DVWA (Damn Vulnerable Web App) üzerindeki düşük...
Dizin Aşımı / Atlama Zafiyetinin İstismarı
Web uygulamaları sızma testlerinde karşılaşılabilecek zafiyetlerden birisi de Dizin Aşımı/Atlama (Directory Traversal) zafiyetidir. Bu yazıda güvenilir olarak yapılandırılmamış Pentester Lab: Web For Pentester (I)...
Web Uygulaması Sızma Testlerinde SQL Enjeksiyonu ile Kimlik Doğrulamasının Atlatılması
Web uygulamaları sızma testleri sırasında tespit edilen kimlik doğrulama ekranlarında gerekli kontrollerin uygulanmaması bir takım zafiyetlere sebep olabilir. Bu yazıda, web hizmeti veren Kioptrix...
Web Uygulama Sızma Testlerinde HTTP PUT Metod Kullanımının Tespiti
HTTP PUT metodu hedef sunucuya veri göndermek için kullanılan tekniklerden biridir. PUT metodu kullanılarak yetkisiz ve kontrolsüz bir şekilde zararlı bir dosya içeriğinin sunucuya...
SSL Strip Aracı ile HTTP Desteği Veren Web Uygulamasında HTTPS Protokolünde...
SSL, istemci ile sunucu arasındaki trafiği şifreleyerek güvenli haberleşmeyi sağlayan bir güvenlik protokolüdür. Ancak HTTP üzerinden hizmet veren ve HTTPS sayfasına yönlendiren web sitelerinde...
OWASP DVWA – File Inclusion (Düşük Seviye): Yerel ve Uzak Dosya...
Web uygulamaları sızma testleri sırasında hedef uygulama üzerindeki bir kontrol eksikliği sebebi ile beklenmeyen dosyalar web uygulaması tarafından çalıştırılabilir. Bu yazıda, OWASP DVWA (Damn...
Web Uygulama Sızma Testlerinde Kullanılan HTTP PUT Metodunun İstismar Edilmesi
HTTP PUT metodu hedef sunucuya veri göndermek için kullanılan tekniklerden biridir. PUT metodu kullanılarak yetkisiz ve kontrolsüz bir şekilde zararlı bir dosya içeriğinin sunucuya...
OWASP DVWA – SQL Injection (Düşük Seviye): SQL Enjeksiyonu Olan Uygulamada...
Web uygulamaları sızma testleri sırasında hedef uygulama üzerindeki bir kontrol eksikliği sebebi ile veritabanından bir takım bilgiler elde edilebilir. Bu yazıda, OWASP DVWA (Damn...
OWASP DVWA – File Upload (Orta Seviye): Dosya Yükleme Zafiyeti Bulunan...
Web uygulamaları sızma testleri sırasında hedef uygulama üzerindeki bir kontrol eksikliği sebebi ile hedef sunucuya beklenmedik tipte dosyalar yüklenebilir. Bu yazıda, OWASP DVWA (Damn...
WAF (Web Application Firewall) Kontrolünü Atlatarak Dosya Yükleme Zafiyetinin İstismar Edilmesi
Web uygulamaları sızma testleri sırasında kullanılan güvenlik mekanizmalarının atlatılarak web uygulamasını istismar etme ihtiyacı olabilir. Bu yazıda, web hizmeti veren IMF:1 sanal makinesindeki WAF...
PHPLiteAdmin v1.9 Uygulamasındaki PHP Kod Enjeksiyonu Zafiyetinin Yerel Dosya Dahil Etme...
Web uygulamaları sızma testleri sırasında keşfedilen bir zafiyet başka zafiyetler ile birleştirilerek kullanılabilir. Bu yazıda, Nineveh sanal makinesindeki PHPLiteAdmin v1.9 (1.9.3) sürümündeki PHP kod...
Vekil Sunucu Üzerinden Erişilen Web Servisinde Shellshock Zafiyetinin İstismar Edilmesi
Sızma testleri sırasında bir vekil (proxy) sunucu üzerinden başka ağlara veya servislere erişim sağlanması gerekebilir. Bu yazıda SickOs: 1.1 sanal makinesindeki Shellshock zafiyeti içeren...
Nginx Üzerinde LFI Log Zehirleme Yöntemi İle Ters Bağlantı Elde Etme
NginxWeb uygulamaları sızma testleri sırasında hedef uygulama üzerindeki bir kontrol eksikliği sebebi ile beklenmeyen dosyalar web uygulaması tarafından çalıştırılabilir. Bu yazıda, DC: 5 sanal...
CMSmap Aracı ile Tespit Edilen Drupal 7.30 Üzerindeki SQL Enjeksiyonu Zafiyetinin...
Web uygulamaları sızma testleri sırasında güncel olmayan Drupal sürümünün kullanılması zafiyete sebep olabilir. Bu yazıda, Droopy: v0.2 sanal makinesi üzerindeki Drupal 7.30 sürümünde bulunan...
OWASP DVWA – Command Execution (Orta Seviye): Web Uygulama Açıklığının İstismar...
Web uygulamaları sızma testleri sırasında hedef uygulama üzerindeki bir kontrol eksikliği sebebi ile işletim sisteminde komut çalıştırılabilir. Bu yazıda, OWASP DVWA (Damn Vulnerable Web...
Uygun Şekilde Kullanılmayan PHP strcmp Fonksiyonunun İstismar Edilerek Kimlik Doğrulamasının Atlatılması
Web uygulamaları sızma testleri sırasında uygulama geliştiricilerin kullandığı fonksiyonların zafiyetleri istismar edilebilir. Bu yazıda, web hizmeti veren IMF:1 sanal makinesindeki PHP strcmp fonksiyonunun geri dönüş...
OWASP DVWA – File Upload (Düşük Seviye): Dosya Yükleme Zafiyeti Bulunan...
Web uygulamaları sızma testleri sırasında hedef uygulama üzerindeki bir kontrol eksikliği sebebi ile hedef sunucuya beklenmedik tipte dosyalar yüklenebilir. Bu yazıda, OWASP DVWA (Damn...
wpscan Aracı ile WordPress Kullanıcı Yönetimi Arayüzüne Erişim Sağlanabilecek Hesaplara Ait...
Wordpress kullanan uygulamaların oturum açma ekranında uygulama kullanıcılarının tespiti için sözlük saldırısı gerçekleştirilebilir. Bu yazıda, Wordpress kurulu Mr.Robot sanal makinesi üzerindeki erişim bilgileri wpscan aracı...
Lotus CMS Uzaktan Kod Çalıştırma Zafiyetinin İstismarı
Web uygulamaları sızma testleri sırasında kullanılan platformalar istismar edilebilir. Bu yazıda, web hizmeti veren Kioptrix (Seviye - 1.2) sanal makinesindeki Lotus CMS üzerindeki uzaktan...
