22 Şubat 2015

Web Uygulama Denetimi - Bölüm-13: SOAP Mesajlarına Enjeksiyon

Simple Object Access Protocol (SOAP) genellikle arka sistemlerde yük paylaşımı gerektiren kurumsal uygulamalarda kullanılan bir teknolojidir. SOAP veri iletişimini kapsüllemek için XML formatını kullanır. XML yorumlanan bir veri bloğu dili olduğundan enjeksiyon tehdidine açıktır. XML elemanları <, > ve / metakarakterleri kullanılarak tanımlanır.

15 Şubat 2015

Web Uygulama Denetimi - Bölüm-12: Web Betik Dillerine Yönelik Enjeksiyon Saldırıları (Code Injection)

Web uygulamalarının belkemiğini oluşturan web betikleri aracılığıyla arka sistemlere komut enjeksiyonu mümkün olmakla birlikte bu dillerin kendilerine yönelik de dinamik çalıştırılan kod enjeksiyonu mümkündür (normalde Java dilinin böyle bir özelliği bulunmamaktadır, ancak özel geliştirilmiş JSP platformlarında böyle bir imkan bulunabilir). Bu saldırının gerçekleştirilebilmesi için 2 vektör bulunmaktadır:

  • Kullanıcı tarafından girilen veride yer alan web betik kodlarının dinamik olarak yorumlanması ve çalıştırılması
  • Kullanıcı tarafından girilen verilerle enjekte edilen dosya isimleri nedeniyle dinamik olarak çalıştırılabilir web betiği içeren dosyaların dahil edilmesi

08 Şubat 2015

Web Uygulama Denetimi - Bölüm-11: İşletim Sistemi Komutları Enjeksiyonu (Command Injection)

Web uygulama betikleri doğrudan işletim sistemi komutları çalıştırmayı destekleyen fonksiyonlara sahiptirler. Örneğin PHP’nin “exec”i, ASP’nin “wscript.shell”i gibi. Bu türden açıklıklara genellikle koruma duvarı, yazıcılar, yönlendiriciler ve diğer kurumsal sunuculara yönetsel arayüz sağlayan web uygulamalarında rastlanır.