1) Kaynak kodlarimizi inceledigimize gore oncelikle Mozilla Firefox'u acip URL kismina 'http://127.0.0.1/dvwa' yaziyoruz ve giris yapiyoruz. Kullanici adi - sifre default olarak 'admin - password' olarak tanimlanir. Giris yaptiktan sonra 'DVWA Security' kismina gelip dereceyi 'low' yapip submit diyoruz ve ardindan yan taraftan 'Brute Force' butonina tikliyoruz..
DERS II (GUVENLIK ZAFIYETLERI):
Bu dersimizde, DVWA'da bulunan, en cok kullanilan guvenlik aciklarini taniyacagiz. Once guvenlik zaafiyetinin kelime manasi ile derse baslayalim. Guvenlik acigi, kelime manasi olarak herhangi bir sistem, cihaz veya sunucuda meydana gelen, guvenligi tehlikeye atabilecek veya kotu amacli kisiler tarafindan degerlendirilebilecek zayifliklara verilen isimdir. Guvenlik acigi herhangi bir ortamda, insanda bile olusabilir (Sosyal Muhendislik). Guvenlik aciklarini arttirmak mumkundur. Binbir cesit acik vardir. Biz bu dersimizde DVWA dolayisiyla, web uygulamalarinda meydana gelen, en cok kullanilan zayifliklari anlamaya, ogrenmeye calisacagiz. Ilk dersimizde olusturdugumuz siralamayi takip edecegiz. Bu siralamaya gecmeden once belirtmek isterim ki, ilerideki derslerde DVWA uzerinde sizma islemi sadece tek bir yontemle gerceklesecektir. Diger yontemleri guvenlik aciginin bulundugu bolumde bulunan 'view help' butonuna tiklayarak goruntuleyebilir, fikir edinebilirsiniz. Yine o bolumlerde bulunan 'view source' butonuna tiklayarak formun sourcesini (kaynak kodlarini) goruntuleyebilir, sizma islemi icin fikir edinebilirsiniz.
1_ Brute Force Atagi: Brute Force, sozluk sirasina gore artan karakterlerle 1..9, a..b, A..B ve ozel karakterler kullanarak stringler ureten ve bu stringleri pop3, smtp, smb, ftp, http, e-mail gibi protokoller veya html formlari uzerinde deneyen atak cesididir. Eger bu atak cesidinde belli bir sozluk kullanilirsa 'Sozluk Atagi', once sozluk atagi uygulanip daha sonra brute force atagi kullanilirsa da 'Hybrid Atagi' olarak isimlendirilir. Tum bu ataklarda amac, hedef sisteme deneme - yanilma yoluyla sizmaktir. Bu tur ataklari uygulamak icin Hydra, Brutus, Medusa gibi araclar kullanilabilir.
Web formlarda Brute Force atagina karsi alinabilecek en iyi onlem, belli bir sifre deneme sayisindan sonra CAPTCHA (Completely Automated Public Turing Test To Tell Computers and Humans Apart) kodu, herhangi bir guvenlik kodu vs. girilmesinin istenmesidir. Bu sayede robotlara karsi en iyi sekilde onlem alinabilir.
Keine Kommentare:
Kommentar veröffentlichen