Ek Bilgi: Exploit, sistemin acigini kullanmak, ele gecirmek veya veri cekmek amaciyla olusturulan, genelde C, Perl, Python ve Ruby dilleri ile yazilan araclar ve yazilimlardir. Exploit cok genis bir kavramdir. Bu yuzden sadece yuzeysel bir anlatim yapacagiz. Exploit,
Remote Exploit
Local Exploit
0day Exploit
olmak uzere belli basli gruplara ayrilir. Bu ayrismanin sebebi exploitlerin kullanim alanlaridir. Remote Exploit, uzak sisteme yapilan veri cekim islemleri icin kullanilan exploit cesididir. Local Exploit, sistemde dogrudan calisabilen, yetki ve hak yukseltme islemlerinde kullanilan exploit cesididir. 0day Exploit ise sistemde bulunan herhangi bir acigin fark edilmesiyle birlikte yazilan ve hizlica yayilan exploit cesididir. Cok tehlikelidir, cunku sistem yoneticileri daha acigin farkinda bile olmazken saldiriya ugradiklari anda buyuk zararlara yol acabilir. Exploit aranmasi icin en cok kullanilan web siteleri Packet Storm Security ve ExploitDB'dir. M.etasploit, icinde bircok exploit barindiran cok amacli bir sistemdir. Bunlara ilerideki derslerimizde siklikla deginecegiz.
DERS V (CSRF DVWA - LOW):
Simdiki dersimizde, DVWA uzerinde bulunan CSRF, yani 'Cross Site Request Forgery' acigini 'Low' derecesinde kullanmayi ogrenecegiz. CSRF, bildigimiz uzere sunucuda yetki sahibi herhangi bir kullanicida istem disi istekler calistirmamizi saglayan aciktir. Bu acigi bugun, DVWA uzerinden cok az bir miktar 'Social Engineering' (Sosyal Muhendislik) kullanarak, yonetim yetkisine sahip kullanicinin oturum sifresini degistirmek icin kullanacagiz. Bu asamalarda, simdilik 'gedit' adli text editorunu ve HTML kodlama bilgimizi kullanacagiz.
CSRF DVWA - Low Kaynak Kodlari Incelemesi: Kodlari inceleyelim. PHP ile yazilmis olan kaynak kodlarini inceledigimiz zaman, MySql veritabani uzerinde bulunan yonetim kullanicisi (Admin)'nin oturum bilgilerinin, HTTP GET methodu ile aktarilip form uzerindeki bilgilerle, MD5 hash seklinde veritabanina kaydedilmesi seklinde bir sonuca ulasmis olacagiz. Kaynak kodlarini inceledigimize gore bu aciktan yararlanma kismina gecelim.
Keine Kommentare:
Kommentar veröffentlichen