Cumartesi, Ocak 19, 2019

Web Uygulama Sızma Testlerinde Kullanılan HTTP PUT Metodunun İstismar Edilmesi

HTTP PUT metodu hedef sunucuya veri göndermek için kullanılan tekniklerden biridir. PUT metodu kullanılarak yetkisiz ve kontrolsüz bir şekilde zararlı bir dosya içeriğinin sunucuya...

Vekil Sunucu Üzerinden Erişilen Web Servisinde Shellshock Zafiyetinin İstismar Edilmesi

  Sızma testleri sırasında bir vekil (proxy) sunucu üzerinden başka ağlara veya servislere erişim sağlanması gerekebilir. Bu yazıda SickOs: 1.1 sanal makinesindeki Shellshock zafiyeti içeren...

CMSmap Aracı ile Tespit Edilen Drupal 7.30 Üzerindeki SQL Enjeksiyonu Zafiyetinin...

Web uygulamaları sızma testleri sırasında güncel olmayan Drupal sürümünün kullanılması zafiyete sebep olabilir. Bu yazıda, Droopy: v0.2 sanal makinesi üzerindeki Drupal 7.30 sürümünde bulunan...

Dizin Aşımı / Atlama Zafiyetinin İstismarı

Web uygulamaları sızma testlerinde karşılaşılabilecek zafiyetlerden birisi de Dizin Aşımı/Atlama (Directory Traversal) zafiyetidir. Bu yazıda güvenilir olarak yapılandırılmamış Pentester Lab: Web For Pentester (I)...

Web Uygulama Sızma Testlerinde HTTP PUT Metod Kullanımının Tespiti

HTTP PUT metodu hedef sunucuya veri göndermek için kullanılan tekniklerden biridir. PUT metodu kullanılarak yetkisiz ve kontrolsüz bir şekilde zararlı bir dosya içeriğinin sunucuya...

WAF (Web Application Firewall) Kontrolünü Atlatarak Dosya Yükleme Zafiyetinin İstismar Edilmesi

Web uygulamaları sızma testleri sırasında kullanılan güvenlik mekanizmalarının atlatılarak web uygulamasını istismar etme ihtiyacı olabilir. Bu yazıda, web hizmeti veren IMF:1 sanal makinesindeki WAF...

Web Uygulaması Sızma Testlerinde SQL Enjeksiyonu ile Kimlik Doğrulamasının Atlatılması

Web uygulamaları sızma testleri sırasında tespit edilen kimlik doğrulama ekranlarında gerekli kontrollerin uygulanmaması bir takım zafiyetlere sebep olabilir. Bu yazıda, web hizmeti veren Kioptrix...

OWASP DVWA – Brute Force (Düşük Seviye): Burp Suite ile Kimlik...

Web uygulamaları sızma testleri sırasında kaba kuvvet saldırıları ile hedef uygulamaya giriş yapılmaya çalışılabilir. Bu yazıda, OWASP DVWA (Damn Vulnerable Web App) üzerindeki düşük...

PHPLiteAdmin v1.9 Uygulamasındaki PHP Kod Enjeksiyonu Zafiyetinin Yerel Dosya Dahil Etme...

Web uygulamaları sızma testleri sırasında keşfedilen bir zafiyet başka zafiyetler ile birleştirilerek kullanılabilir. Bu yazıda, Nineveh sanal makinesindeki PHPLiteAdmin v1.9 (1.9.3) sürümündeki PHP kod...

Yerel Dosya Dahil Etme Zafiyeti Bulunan Eklenti Yüklü WordPress Uygulamasında Komut...

Web uygulamaları sızma testleri sırasında hedef uygulama üzerindeki bir kontrol eksikliği sebebi ile beklenmeyen dosyalar web uygulaması tarafından çağırılabilir. Bu yazıda, Yerel Dosya Dahil...