31 Ocak 2015
Web Uygulama Denetimi - Bölüm-10: İleri Saldırı Yöntemleri
Şu ana kadar bahsedilen veri elde etme yöntemlerinde istediğimiz bilgileri bir listenin devamında veya hata mesajlarının içeriğinde görebileceğimizi varsaydık. Ancak artık bu şekilde ortaya çıkan açıklıkların sayısı azalmaktadır. Enjeksiyon yapılabilen durumlarda veri elde etmenin bu kadar kolay olmaması halinde uygulanabilecek yöntemler aşağıda açıklanmıştır.
Adsız
27 Ocak 2015
Sosyal Mühendislik Yöntemiyle Kurban Bilgisayarına Shell Açma - Bölüm-2:Saldırının Gerçekleştirilmesi
Sosyal Mühendislik Yöntemiyle Kurban Bilgisayarına Shell Açma konulu makalemizin ilk bölümünde, Metasploit console (msfconsole) üzerinde yapılacak işlemler ve browser aracılığı ile metasploit üzerinde çalışan HTTP sunucusuna erişmek ve Jar dosyasını indirmek için yapılacak işlemlerden bahsettik. Yazımızın ikinci ve son bölümü olan bu bölümde ise sahte web sayfasının oluşturulması ve sunulması için izlenecek adımlardan, metasploit console üzerinden multi handler exploit’unun çalıştırılması için izlenecek adımlardan ve kurbanın oluşturulan web sayfasının linkine tıklanmasının sağlanması ve kurban bilgisayara erişim için izlenecek adımlardan bahsedeceğiz. Ek olarak Antivirüs’lerden mümkün olduğunca kaçınabilmek için JAR dosyasının ve dosya içindeki EXE dosyasının oluşturulması için izlenebilecek yöntemlere de değineceğiz.
18 Ocak 2015
Web Uygulama Denetimi - Bölüm-9: Veritabanı Tespiti (Database Fingerprinting)
Metin birleştirme özelliklerinden faydalanarak veritabanı tespiti için aşağıdaki yöntemleri kullanabiliriz (ilgili veritabanı belirtilen teknikle birleştirilen (concatenate) metni anlayacak ve bu metin bitişik yazıldığında normalde ürettiği sonucu üretecektir). ‘services’ kelimesini aşağıdaki veritabanlarında şu şekillerde birleştirerek oluşturabiliriz:
Adsız
10 Ocak 2015
Web Uygulama Denetimi - Bölüm-8: SQL Enjeksiyonu (SQL Injection)
Adsız
04 Ocak 2015
Web Uygulama Denetimi - Bölüm-7: Yorumlanan Dillere Yönelik Enjeksiyon Saldırıları
Yorumlanan web betik dillerine (ve SMTP gibi arka sistemlere, işletim sistemine gönderilen komutlara) ilişkin çok detaylı bir çalışma yapılabilir. Ancak temel prensipler her dil için hemen hemen aynıdır. Farklı durumlara ilişkin yapılması gereken çalışma dilin sentaksına ve arkadaki servisin davranışlarına yönelik olmalıdır.
Adsız