JSON (“Javascript Object Notation”), insanlar tarafından okunabilen bir veri değişimi biçimidir. XML’in Javascript ile çok da iyi kullanılamamasından ötürü tercih edilir. [1] Normal uygulanan sızma teknikleri aynen JSON ‘da denenerek sonuca ulaşılabilir. PHP ‘de veri değişimi olmad...
Hemen her saat yeni bir güvenlik zafiyetinin yayınlandığı siber dünyada kurumları bu tehditlere karşı korumak amacıyla geliştirilen yöntemlerden biri sızma testleridir. Sızma testleri aslında kurumların anlık güvenlik açısından resimlerinin çekilmesi ve önerilerin sunulmasından ibaret olmasına rağme...
Not:3 bölüm olarak hazırlanan bu yazı dizisinin ilk bölümünü aşağıdan okuyabilirsiniz. Internet ortamında altyapı, ağ ve sunucu hizmetlerinde kullanılan işletim sistemleri %70 gibi büyük oranda UNIX/Linux tabanlı sistemlerden oluşmaktadır[1]. Linux sistemlerin yoğun kullanımı saldırganların da...
Örnek URL onerror=al&s2=ert(‘BGA’); src=”a”/> Alınan önlemler, HPF (HTTP Parameter Fragmentation) olarak adlandırılan yöntemle atlatılabilmektedir. Bu yöntemde, arama işleminde yer alan, iki arama parametresi (s1 ve s2) üzerinden istismar edilir. Örnek URL ’de alert, s1 ve s2 para...
URL ; Önceki bulguda bahsedilen BGA BANK sayfa parametresiyle sunucudan aynı dizin altındaki farklı php dosyaları (giris.php, mobilgiris.php vb.) çağırılmaktadır. Hem Linux’ta hem Windows’ta .(tek nokta) aynı dizini ve .. (iki nokta) ise bir üst dizini ifade eder. Linux bir sistemde /etc/passw...
BGA Bank Müşteri Giriş Paneli Reflected XSS Zafiyeti ve İstismarı BGA Bank “Müşteri Giriş Paneli” sayfasında “Reflected XSS Zafiyeti” bulunmaktadır. XSS zafiyetinin tespiti ve istismarı aşağıda adım adım anlatılmıştır. Tablo 1. Giriş sayfası Reflected XSS zafiyet bilgileri URL HTTP Talep...
