Çarşamba, Eylül 18, 2019

playSMS 1.4 Üzerinde Phonebook ve Sendmail Modüllerinin İstismar Edilerek Komut Satırı...

Web uygulamaları sızma testleri sırasında hedef uygulama üzerindeki bir kontrol eksikliği zafiyeti sebebi ile işletim sistemi üzerinde komut çalıştırılabilir. Bu yazıda, Dina: 1.0.1 sanal...

Cuppa CMS Üzerinde Dosya Dahil Etme Zafiyetinin İstismarı

Web uygulamaları sızma testleri sırasında hedef uygulama üzerindeki bir zafiyet sebebi ile beklenmeyen dosyalar web uygulaması tarafından çalıştırılabilir. Bu yazıda, W1R3S: 1.0.1 sanal makinesindeki...

Nginx Üzerinde LFI Log Zehirleme Yöntemi İle Ters Bağlantı Elde Etme

NginxWeb uygulamaları sızma testleri sırasında hedef uygulama üzerindeki bir kontrol eksikliği sebebi ile beklenmeyen dosyalar web uygulaması tarafından çalıştırılabilir. Bu yazıda, DC: 5 sanal...

Ruby İle mongoDB “admin” Kullanıcısının Parolasını Elde Etme

Sızma testleri sırasında tespit edilen bir açıklığın istismarı ile arka tarafta çalışan veritabanı üzerinde komut çalıştırılabilir. Bu yazıda Ruby programlama dili kullanılarak mongoDB "admin"...

Droopescan Aracı ile Tespit Edilen Drupal 8.5.0 Üzerindeki Uzaktan Kod Çalıştırma...

Web uygulamaları sızma testleri sırasında güncel olmayan Drupal sürümünün kullanılması zafiyete sebep olabilir. Bu yazıda, Typhoon: 1.02 sanal makinesi üzerindeki Drupal 8.5.0 sürümünde bulunan...

PHPLiteAdmin v1.9 Uygulamasındaki PHP Kod Enjeksiyonu Zafiyetinin Yerel Dosya Dahil Etme...

Web uygulamaları sızma testleri sırasında keşfedilen bir zafiyet başka zafiyetler ile birleştirilerek kullanılabilir. Bu yazıda, Nineveh sanal makinesindeki PHPLiteAdmin v1.9 (1.9.3) sürümündeki PHP kod...

Dizin Aşımı / Atlama Zafiyetinin İstismarı

Web uygulamaları sızma testlerinde karşılaşılabilecek zafiyetlerden birisi de Dizin Aşımı/Atlama (Directory Traversal) zafiyetidir. Bu yazıda güvenilir olarak yapılandırılmamış Pentester Lab: Web For Pentester (I)...

Vekil Sunucu Üzerinden Erişilen Web Servisinde Shellshock Zafiyetinin İstismar Edilmesi

  Sızma testleri sırasında bir vekil (proxy) sunucu üzerinden başka ağlara veya servislere erişim sağlanması gerekebilir. Bu yazıda SickOs: 1.1 sanal makinesindeki Shellshock zafiyeti içeren...

CMSmap Aracı ile Tespit Edilen Drupal 7.30 Üzerindeki SQL Enjeksiyonu Zafiyetinin...

Web uygulamaları sızma testleri sırasında güncel olmayan Drupal sürümünün kullanılması zafiyete sebep olabilir. Bu yazıda, Droopy: v0.2 sanal makinesi üzerindeki Drupal 7.30 sürümünde bulunan...

Web Uygulama Sızma Testlerinde Kullanılan HTTP PUT Metodunun İstismar Edilmesi

HTTP PUT metodu hedef sunucuya veri göndermek için kullanılan tekniklerden biridir. PUT metodu kullanılarak yetkisiz ve kontrolsüz bir şekilde zararlı bir dosya içeriğinin sunucuya...