10. Sql Injection Gerçek Hayattan Örnek
HTTP requestleri kullanıcılar tarafından manipüle edilebildiğine göre;
checkbox[]=2
#SELECT title,content FROM foo WHERE id = 2
Yerine
checkbox[]=5 LIMIT 1,1 UNION ALL SELECT version()
#SELECT title, content FROM foo WHERE id = 5 LIMIT 1,1 UNION SELECT
version(),2
11. Sql Injection Gerçek Hayattan Örnek
Tablo isimleri;
phpcms_admin
phpcms_admin_role
phpcms_admin_role_priv
phpcms_ads
…
16. XSS Gerçek Hayattan Örnek - 1
1.
2.
3.
4.
From : <img src=# onerror=alert(document.cookie)>@blabla.com
To: victim@gmail.com
victim@gmail.com sahibi mail.google.com adresine girer
Fixed : 08.08.2013
17. XSS Gerçek Hayattan Örnek - 2
1.
Dropbox üzerinde '"><img src=# onerror=alert(document.domain)>.txt
2.
3.
Peki Linux üzerinde touch komutu ile bu isimde dosya oluşturulursa ?
Facebook gruplarında Dropbox üzerinden dosya paylaşımı yapılabilmektedir.
4.
Peki ya sonra...
18. XSS Gerçek Hayattan Örnek - 2
Sonuç: Grup üyeleri olan tüm kullanıcıların tarayıcılarında javascript kodu çalıştırabilme
yetkisi.
39. Gerçek Hayattan Örnek
1. email VARCHAR (100);
2. Hacker sisteme aşağıdaki mail adresi ile üye olur
‘admin@abc.com
100 adet boşluk
AAAAAA’
3. checkEmailAdresi methodu TRUE döner.
4. Hacker yazılım üzerinde kendi şifresini değiştirir.
5. Yazılım şifre güncellemesini user id yerine email
adresine göre yapar.
6. Administratorun ve hacker’ın şifresi updatelenir.
40. ÖNERİLER
● Web Programlama Dili
● Exploit-db.com
● E-Kitaplar;
Kali ve Linux’e Giriş
[Turkish] Web Application Security #101
[Turkish] Source Code Analysis at Web Applications - I
[Turkish] Source Code Analysis at Web Applications - II
Web Application Hacker's Handbook