Erişim Sağlanan WordPress Yönetim Arayüzünde MSFVenom Payload Creator ile Oluşturulan PHP...
Web uygulaması sızma testleri sırasında erişilen web uygulaması üzerinden işletim sisteminde kod çalıştırılabilir. Bu yazıda yönetici hakları ile erişim sağlanan Wordpress yönetim arayüzü MSFVenom...
Yerel Dosya Dahil Etme Zafiyeti Bulunan Eklenti Yüklü WordPress Uygulamasında Komut...
Web uygulamaları sızma testleri sırasında hedef uygulama üzerindeki bir kontrol eksikliği sebebi ile beklenmeyen dosyalar web uygulaması tarafından çağırılabilir. Bu yazıda, Yerel Dosya Dahil...
Plecoat Aracı ile Tespit Edilen WordPress Slideshow Gallery 1.4.6 Zafiyetinin İstismarı
Web uygulamaları sızma testleri sırasında hedef uygulama üzerindeki bir eklentinin güncel olmaması zafiyete sebep olabilir. Bu yazıda, WordPress kurulu SecTalks: BNE0x00 - Minotaur sanal...
OWASP DVWA – Command Execution (Düşük Seviye): Web Uygulama Açıklığının İstismar...
Web uygulamaları sızma testleri sırasında hedef uygulama üzerindeki bir kontrol eksikliği sebebi ile işletim sisteminde komut çalıştırılabilir. Bu yazıda, OWASP DVWA (Damn Vulnerable Web...
OWASP DVWA – File Inclusion (Orta Seviye): nc Aracı ile Dosya...
Web uygulamaları sızma testleri sırasında hedef uygulama üzerindeki bir kontrol eksikliği sebebi ile beklenmeyen dosyalar web uygulaması tarafından çalıştırılabilir. Bu yazıda, OWASP DVWA (Damn...
Joomla Üzerindeki Uygulama Zafiyeti İstismarı ile FatalShell PHP Kodunun Uygulamaya Gömülerek...
Web uygulaması sızma testleri sırasında girdi kontrollerinin ve işlenmesinin uygun şekilde gerçekleştirilmediği durumlarda zafiyet ortaya çıkabilir. Bu yazıda yönetici hakları ile erişim sağlanan Kevgir:1...
wpscan Aracı ile WordPress Kullanıcı Yönetimi Arayüzüne Erişim Sağlanabilecek Hesaplara Ait...
Wordpress kullanan uygulamaların oturum açma ekranında uygulama kullanıcılarının tespiti için sözlük saldırısı gerçekleştirilebilir. Bu yazıda, Wordpress kurulu Mr.Robot sanal makinesi üzerindeki erişim bilgileri wpscan aracı...
PHPLiteAdmin v1.9 Uygulamasındaki PHP Kod Enjeksiyonu Zafiyetinin Yerel Dosya Dahil Etme...
Web uygulamaları sızma testleri sırasında keşfedilen bir zafiyet başka zafiyetler ile birleştirilerek kullanılabilir. Bu yazıda, Nineveh sanal makinesindeki PHPLiteAdmin v1.9 (1.9.3) sürümündeki PHP kod...
Python Kodu ile WordPress Kullanıcı Yönetimi Arayüzüne Erişim Sağlanabilecek Hesaplara Ait...
Wordpress kullanan uygulamaların oturum açma ekranında uygulama kullanıcılarının tespiti için sözlük saldırısı gerçekleştirilebilir. Bu yazıda, Wordpress kurulu Mr.Robot sanal makinesi üzerindeki kullanıcı adları basit bir...
Droopescan Aracı ile Tespit Edilen Drupal 8.5.0 Üzerindeki Uzaktan Kod Çalıştırma...
Web uygulamaları sızma testleri sırasında güncel olmayan Drupal sürümünün kullanılması zafiyete sebep olabilir. Bu yazıda, Typhoon: 1.02 sanal makinesi üzerindeki Drupal 8.5.0 sürümünde bulunan...
Skipfish Aracı ile Web Uygulamalarına Yönelik Güvenlik Taramasının Gerçekleştirilmesi
Web uygulamaları sızma testleri sırasında uygulama üzerindeki zafiyetlerin otomatik araçlarla tespit edilebilmesi gerekebilemektedir. Bu yazıda, Kioptrix (Seviye - 1.2) sanal makinesine Skipfish aracı ile...
OWASP Joomscan Aracı ile Bir Joomla Uygulaması İçin Zafiyet Taramasının Gerçekleştirilmesi
Sızma testlerinde ve sistem güvenliğinde zafiyet taraması önemli bir yer tutmaktadır. Zafiyet taraması için çeşitli uygulamalar ve betikler bulunmaktadır. Bu yazıda OWASP tarafından sunulan...
FreeBSD İşletim Sisteminde pChart 2.1.3 PHP Kütüphanesindeki ve PhpTax 0.8 Uygulamasındaki...
Web uygulamaları sızma testleri sırasında kullanılan zafiyetli kütüphanelerin ve yazılımların istismar edilmesi ile uygulama sunucusunun komut satırına erişim sağlanabilir. Bu yazıda, Kioptrix (Seviye –...
Vekil Sunucu Üzerinden Erişilen Web Servisinde Shellshock Zafiyetinin İstismar Edilmesi
Sızma testleri sırasında bir vekil (proxy) sunucu üzerinden başka ağlara veya servislere erişim sağlanması gerekebilir. Bu yazıda SickOs: 1.1 sanal makinesindeki Shellshock zafiyeti içeren...
Web: Blind SQL Injection (Düşük)
https://umuttosun.com/?p=29
OWASP DVWA – Command Execution (Orta Seviye): Web Uygulama Açıklığının İstismar...
Web uygulamaları sızma testleri sırasında hedef uygulama üzerindeki bir kontrol eksikliği sebebi ile işletim sisteminde komut çalıştırılabilir. Bu yazıda, OWASP DVWA (Damn Vulnerable Web...
Uygun Şekilde Kullanılmayan PHP strcmp Fonksiyonunun İstismar Edilerek Kimlik Doğrulamasının Atlatılması
Web uygulamaları sızma testleri sırasında uygulama geliştiricilerin kullandığı fonksiyonların zafiyetleri istismar edilebilir. Bu yazıda, web hizmeti veren IMF:1 sanal makinesindeki PHP strcmp fonksiyonunun geri dönüş...
Cuppa CMS Üzerinde Dosya Dahil Etme Zafiyetinin İstismarı
Web uygulamaları sızma testleri sırasında hedef uygulama üzerindeki bir zafiyet sebebi ile beklenmeyen dosyalar web uygulaması tarafından çalıştırılabilir. Bu yazıda, W1R3S: 1.0.1 sanal makinesindeki...
Uygun Yapılandırılmamış Web Uygulamalarında WebDAV Özelliğini Cadaver Aracı ile Kötüye Kullanılarak...
WebDAV özelliği etkinleştirilmiş web uygulamalarında yeterli güvenlik önlemleri alınmamışsa, bu özellik kötüye kullanılabilir. Bu yazıda Bee-Box sanal makinesi üzerinde WebDAV uzantısı etkin bırakılmış ve...
OWASP DVWA – Brute Force (Düşük Seviye): Burp Suite ile Kimlik...
Web uygulamaları sızma testleri sırasında kaba kuvvet saldırıları ile hedef uygulamaya giriş yapılmaya çalışılabilir. Bu yazıda, OWASP DVWA (Damn Vulnerable Web App) üzerindeki düşük...
