Nginx Üzerinde LFI Log Zehirleme Yöntemi İle Ters Bağlantı Elde Etme
NginxWeb uygulamaları sızma testleri sırasında hedef uygulama üzerindeki bir kontrol eksikliği sebebi ile beklenmeyen dosyalar web uygulaması tarafından çalıştırılabilir. Bu yazıda, DC: 5 sanal...
OWASP DVWA – File Inclusion (Orta Seviye): nc Aracı ile Dosya...
Web uygulamaları sızma testleri sırasında hedef uygulama üzerindeki bir kontrol eksikliği sebebi ile beklenmeyen dosyalar web uygulaması tarafından çalıştırılabilir. Bu yazıda, OWASP DVWA (Damn...
Ruby İle mongoDB “admin” Kullanıcısının Parolasını Elde Etme
Sızma testleri sırasında tespit edilen bir açıklığın istismarı ile arka tarafta çalışan veritabanı üzerinde komut çalıştırılabilir. Bu yazıda Ruby programlama dili kullanılarak mongoDB "admin"...
OWASP DVWA – File Upload (Düşük Seviye): Dosya Yükleme Zafiyeti Bulunan...
Web uygulamaları sızma testleri sırasında hedef uygulama üzerindeki bir kontrol eksikliği sebebi ile hedef sunucuya beklenmedik tipte dosyalar yüklenebilir. Bu yazıda, OWASP DVWA (Damn...
Droopescan Aracı ile Tespit Edilen Drupal 8.5.0 Üzerindeki Uzaktan Kod Çalıştırma...
Web uygulamaları sızma testleri sırasında güncel olmayan Drupal sürümünün kullanılması zafiyete sebep olabilir. Bu yazıda, Typhoon: 1.02 sanal makinesi üzerindeki Drupal 8.5.0 sürümünde bulunan...
Erişim Sağlanan Jooma Yönetim Arayüzünde MsfVenom ile Oluşturulan PHP Kodunun Gömülerek...
Web uygulaması sızma testleri sırasında erişilen web uygulaması üzerinden işletim sisteminde kod çalıştırılabilir. Bu yazıda yönetici hakları ile erişim sağlanan Kevgir:1 sanal makinesindeki Joomla yönetim arayüzü...
Web Uygulama Sızma Testlerinde WebDAV Uzantısı Etkinliğinin Tespit Edilmesi
WebDAV özelliği etkinleştirilmiş web uygulamalarında yeterli güvenlik önlemleri alınmamışsa, bu özellik kötüye kullanılabilir. Bu yazıda Bee-Box sanal makinesi üzerinde WebDAV uzantı etkinliğinin keşfi gerçekleştirilecektir.
Not:...
PHPLiteAdmin v1.9 Uygulamasındaki PHP Kod Enjeksiyonu Zafiyetinin Yerel Dosya Dahil Etme...
Web uygulamaları sızma testleri sırasında keşfedilen bir zafiyet başka zafiyetler ile birleştirilerek kullanılabilir. Bu yazıda, Nineveh sanal makinesindeki PHPLiteAdmin v1.9 (1.9.3) sürümündeki PHP kod...
FreeBSD İşletim Sisteminde pChart 2.1.3 PHP Kütüphanesindeki ve PhpTax 0.8 Uygulamasındaki...
Web uygulamaları sızma testleri sırasında kullanılan zafiyetli kütüphanelerin ve yazılımların istismar edilmesi ile uygulama sunucusunun komut satırına erişim sağlanabilir. Bu yazıda, Kioptrix (Seviye –...
Vekil Sunucu Üzerinden Erişilen Web Servisinde Shellshock Zafiyetinin İstismar Edilmesi
Sızma testleri sırasında bir vekil (proxy) sunucu üzerinden başka ağlara veya servislere erişim sağlanması gerekebilir. Bu yazıda SickOs: 1.1 sanal makinesindeki Shellshock zafiyeti içeren...
Yerel Dosya Dahil Etme Zafiyeti Bulunan Eklenti Yüklü WordPress Uygulamasında Komut...
Web uygulamaları sızma testleri sırasında hedef uygulama üzerindeki bir kontrol eksikliği sebebi ile beklenmeyen dosyalar web uygulaması tarafından çağırılabilir. Bu yazıda, Yerel Dosya Dahil...
Web Uygulama Sızma Testlerinde Kullanılan HTTP PUT Metodunun İstismar Edilmesi
HTTP PUT metodu hedef sunucuya veri göndermek için kullanılan tekniklerden biridir. PUT metodu kullanılarak yetkisiz ve kontrolsüz bir şekilde zararlı bir dosya içeriğinin sunucuya...
Skipfish Aracı ile Web Uygulamalarına Yönelik Güvenlik Taramasının Gerçekleştirilmesi
Web uygulamaları sızma testleri sırasında uygulama üzerindeki zafiyetlerin otomatik araçlarla tespit edilebilmesi gerekebilemektedir. Bu yazıda, Kioptrix (Seviye - 1.2) sanal makinesine Skipfish aracı ile...
OWASP DVWA – Cross Site Request Forgery (CSRF) (Orta Seviye): GET...
Web uygulamaları sızma testleri sırasında hedef uygulama üzerindeki bir kontrol eksikliği sebebi ile oturum açmış kullanıcı yetkileri ile işlem gerçekleştirilebilir. Bu yazıda, OWASP DVWA...
OWASP DVWA – File Upload (Orta Seviye): Dosya Yükleme Zafiyeti Bulunan...
Web uygulamaları sızma testleri sırasında hedef uygulama üzerindeki bir kontrol eksikliği sebebi ile hedef sunucuya beklenmedik tipte dosyalar yüklenebilir. Bu yazıda, OWASP DVWA (Damn...
playSMS 1.4 Üzerinde Phonebook ve Sendmail Modüllerinin İstismar Edilerek Komut Satırı...
Web uygulamaları sızma testleri sırasında hedef uygulama üzerindeki bir kontrol eksikliği zafiyeti sebebi ile işletim sistemi üzerinde komut çalıştırılabilir. Bu yazıda, Dina: 1.0.1 sanal...
Uygun Yapılandırılmamış Web Uygulamalarında WebDAV Özelliğini Cadaver Aracı ile Kötüye Kullanılarak...
WebDAV özelliği etkinleştirilmiş web uygulamalarında yeterli güvenlik önlemleri alınmamışsa, bu özellik kötüye kullanılabilir. Bu yazıda Bee-Box sanal makinesi üzerinde WebDAV uzantısı etkin bırakılmış ve...
OWASP DVWA – Command Execution (Düşük Seviye): Web Uygulama Açıklığının İstismar...
Web uygulamaları sızma testleri sırasında hedef uygulama üzerindeki bir kontrol eksikliği sebebi ile işletim sisteminde komut çalıştırılabilir. Bu yazıda, OWASP DVWA (Damn Vulnerable Web...
OWASP DVWA – SQL Injection (Düşük Seviye): SQL Enjeksiyonu Olan Uygulamada...
Web uygulamaları sızma testleri sırasında hedef uygulama üzerindeki bir kontrol eksikliği sebebi ile veritabanından bir takım bilgiler elde edilebilir. Bu yazıda, OWASP DVWA (Damn...
POST ile Gönderilen Parametredeki Dosya Dahil Etme Zafiyetinin Tespiti ve “data://”...
Web uygulamaları sızma testleri sırasında hedef uygulama üzerindeki bir kontrol eksikliği sebebi ile beklenmeyen dosyalar web uygulaması tarafından çalıştırılabilir. Bu yazıda, Milnet: 1 sanal...
