2016 yılı sonuçları :
DVWA Nedir?
DVWA (Damn Vulnerable Web Application) kasıtlı olarak içinde güvenlik açıkları barındıran bir web uygulamasıdır. PHP ve MySQL ikilisi kullanılaraktan geliştirilmiştir. Açık kaynak kodlu bir projedir. Yani nasıl kodlandığını ayan beyan görebilirsiniz. DVWA'nın açılımı Türkçeye "Lanet Olası Savunmasız Web Uygulaması" şeklinde çevrilebilir. DVWA web uygulaması ile web sitelerinin güvenliği konusunda bir ufuk kazanabilirsiniz. Bir hacker siteyi nasıl hack'liyor, bir hacker bir sitede nasıl ... [Devamı]
Bu yazı 03.01.2016 tarihinde, saat 07:54:45'de yazılmıştır.
Windows'a DVWA Kurulumu
Bu yazı Windows'a DVWA kurulumunu konu edinmektedir. Yazı ana başlıklarıyla üç kısma ayrılmaktadır. XAMPP Kurulumu DVWA Yapılandırması DVWA Kurulumu 1. XAMPP Kurulumu DVWA uygulamasını bilgisayarımızda çalıştırabilmek için XAMPP adlı bir yazılımı makinemize kurmamız gerekmektedir. XAMPP bilgisayarımızda PHP ile yazılmış web uygulamalarını çalıştırabileceğimiz bir platformdur. Aşağıdaki linkten bu yazılımı indirebilirsiniz. XAMPP-Win32-5.6.38-0-... [Devamı]
Bu yazı 03.01.2016 tarihinde, saat 08:52:10'de yazılmıştır.
Ubuntu 14.04 LTS Linux'a DVWA Kurulumu
Bu yazı Ubuntu 14.04 LTS linux'a DVWA kurulumunu konu edinmektedir. Yazı ana başlıklarıyla üç kısma ayrılmaktadır. Apache, MySQL ve PHP Kurulumu DVWA Yapılandırması DVWA Kurulumu EK: Ubuntu 14.04 LTS Üzerinde Hazır Yüklü DVWA Yer Alan Makine 1. Apache, MySQL ve PHP Kurulumu Öncelikle sisteminizde tanımlı yerel paket linklerini güncellemek için sudo su apt-get update komutlarını terminalinize girin. Ardından MySQL server'ın... [Devamı]
Bu yazı 03.01.2016 tarihinde, saat 10:33:17'de yazılmıştır.
Ders 1 - DVWA'ya Giriş
DVWA adlı web uygulamasının bu ilk dersinde dersler boyunca sık sık kullanılacak birkaç özellikten bahsedilecektir. Bu özelliklerin kullanılması gerektiği durumlarda ilk birkaç yazıda tekrar mahiyetinde yer verilecektir, fakat sonradan artık bunlar biliniyor farzedilip sırası geldiğinde nasıl kullanılacağına değinilmeyecektir. Direk kullanımı üzerinden ders akışına devam edilecektir. İlk olarak DVWA'daki saldırı türlerine değinelim. Aşağıdaki resimde alt alta dizilmiş menüler - veya bu... [Devamı]
Bu yazı 11.01.2016 tarihinde, saat 21:38:42'de yazılmıştır.
Ders 2 - Brute Force (Low Level)
Bu yazıda DVWA adlı web uygulamasının içerisinde bulunan bir sayfanın güvenlik zafiyetinden faydalanarak Brute Force saldırısında bulunulacaktır. Bu tutorial'ın saldırı içerikli ilk yazısının konusuna başlamadan önce bir defaya mahsus tutorial boyunca takip edilecek anlatım methodundan bahsetmekte fayda var. Her ders yazısına Dersin Hedefi başlıklı bir alt başlıkla başlanacaktır. Bu başlık yapacağınız saldırı ile ne sonuca varmanız gerektiği konusunda size direktif verecektir. Ardından ... [Devamı]
Bu yazı 12.01.2016 tarihinde, saat 08:34:18'de yazılmıştır.
Ders 3 - Brute Force (Medium Level)
Bu yazıda güvenlik düzeyi Medium seviyesine yükseltilmiş DVWA'ya karşı Brute Force saldırısı ve güvenlik önlemleri incelenecektir. Dersin Hedefi DVWA'da güvenlik Medium Level'ken Brute Force için ne gibi bir güvenlik önlemi alındığını keşfedin. Brute Force'a Karşı Önlem Bir önceki derste Brute Force saldırısının nasıl düzenleneceğine değinmiştik. Eğer dikkat ettiyseniz güvenliğin g'sinden dahi bahsetmemiştik o yazıda. İşte şimdi Brute Force'a karşı web sitelerinizi ... [Devamı]
Bu yazı 12.01.2016 tarihinde, saat 12:46:40'de yazılmıştır.
Ders 4 - Command Injection (Low Level)
Bu yazıda DVWA adlı web uygulamasının içerisinde bulunan bir sayfanın zafiyetinden faydalanarak "Linux bir sisteme" Command Injection saldırısında bulunulacaktır. Dersin Hedefi Hedefiniz Command Injection saldırısı yaparak zafiyetin bulunduğu sayfaya "Hacked By Script Kiddies" yazısını yazdırmaktır. Command Injection Nedir? Command Injection, yani komut enjeksiyonu saldırganın zafiyet barındıran bir uygulama üzerinden hedef sistemde dilediği komutları çalıştırabilme... [Devamı]
Bu yazı 15.01.2016 tarihinde, saat 02:36:10'de yazılmıştır.
Ders 5 - Command Injection (Medium Level)
Bu yazıda güvenlik düzeyi Medium seviyesine yükseltilmiş DVWA'ya karşı Command Injection saldırısı ve güvenlik önlemleri incelenecektir. Dersin Hedefi DVWA'da güvenlik Medium Level'ken Command Injection için ne gibi bir güvenlik önlemi alındığını keşfedin ve bu güvenliği aşarak yine bir Command Injection saldırısı düzenleyin. Command Injection'a Karşı Önlem Bir önceki derste Command Injection saldırısının nasıl düzenleneceğini göstermiştik. O saldırıda güvenlik seviyesi... [Devamı]
Bu yazı 15.01.2016 tarihinde, saat 10:49:14'de yazılmıştır.
Ders 6 - Command Injection (High Level)
Bu yazıda güvenlik düzeyi High seviyesine yükseltilmiş DVWA'ya karşı Command Injection saldırısı yapılabilir mi yapılamaz mı sorusunun cevabı irdelenecektir. Dersin Hedefi Command Injection'dan nasıl korunulurun cevabını keşfedin. Command Injection'a Karşı Önlem İlk Command Injection dersinde bir command injection saldırısında bulunmuştuk ve bir sayfa hack'lemiştik. İkinci Command Injection dersinde seviyesi arttırılmış güvenliği atlatmanın yolunu göstermiştik. Bu Com... [Devamı]
Bu yazı 15.01.2016 tarihinde, saat 16:36:40'de yazılmıştır.
Ders 7 - Cross Site Request Forgery (Low Level)
Bu yazıda DVWA adlı web uygulamasının içerisinde bulunan bir sayfanın güvenlik zafiyetinden faydalanarak Cross Site Request Forgery saldırısında bulunulacaktır. Dersin Hedefi DVWA'da oturum açmış kurbanın şifresini kurban fark etmeden değiştirin. Cross Site Reqeust Forgery Nedir? Cross-Site Request Forgery, yani sitelerarası talep sahtekarlığı saldırısı uzaktan bir form tag'ını kurbana submit'leştirmeye denir. Mesela saldırganın online bir bankacılık işlemi için kulla... [Devamı]
Bu yazı 16.01.2016 tarihinde, saat 14:58:54'de yazılmıştır.
Ders 8 - File Inclusion (Low Level)
Bu yazıda DVWA adlı web uygulamasının içerisinde bulunan bir sayfanın güvenlik zafiyetinden faydalanarak File Inclusion saldırısında bulunulacaktır. Dersin Hedefi Hedef sunucunun hassas verilerini hedef sunucunun web sitesi üzerinden oku. File Inclusion Nedir? File Inclusion, yani dosya dahil etme saldırısı saldırganın hedef web sitesine bir dosya dahil etmesine ya da hedef web sitesinin kendinde olan ama sunmadığı bir dosyayı görüntüleyebilmesine denir. File Inc... [Devamı]
Bu yazı 16.01.2016 tarihinde, saat 18:12:00'de yazılmıştır.
Ders 9 - File Inclusion (Medium Level)
Bu yazıda güvenlik düzeyi Medium seviyesine yükseltilmiş DVWA'ya karşı LFI ve RFI için yapılabilecek güvenlik önlemleri incelenecektir. Dersin Hedefi LFI ve RFI saldırılarına karşı ne gibi bir önlem alınabileceğini keşfedin. LFI ve RFI'ya Karşı Önlem Geçen ders LFI ve RFI saldırılarında bulunmuştuk. O derste kullandığımız ekranın kaynak kodu şuydu: Low Level: <?php // The page we wish to display $file = $_GET[ 'page' ]; // Include the specified page include($file); ?>... [Devamı]
Bu yazı 16.01.2016 tarihinde, saat 21:24:18'de yazılmıştır.
Ders 10 - File Inclusion (High Level)
Bu yazıda güvenlik düzeyi High seviyesine yükseltilmiş DVWA'ya karşı LFI, RFI saldırılarına yapılabilecek güvenlik önlemleri incelenecektir. Dersin Hedefi LFI ve RFI saldırılarına karşı daha sağlam ne gibi bir önlem alınabileceğini keşfedin. LFI ve RFI'ya Karşı Önlem Geçen derste LFI ve RFI saldırılarına karşı bir güvenlik önleminden ve bu güvenlik önleminin nasıl aşılabileceğinden bahsetmiştik. Bu derste ise güvenliği bir tık daha yukarı çıkaracağız. Öncelikle Medium L... [Devamı]
Bu yazı 17.01.2016 tarihinde, saat 04:27:42'de yazılmıştır.
Ders 11 - File Upload (Low Level)
Bu yazıda DVWA adlı web uygulamasının içerisinde bulunan bir sayfanın güvenlik zafiyetinden faydalanarak File Upload yoluyla saldırıda bulunulacaktır. Dersin Hedefi Hedefiniz DVWA'nın anasayfasını hack'lemektir. File Upload Nedir? File Upload herkesin tahmin edebileceği gibi dosyaların arayüzdeki butonlar aracılığıyla uzak sisteme transfer edilmesi işlemine denir. File Upload ile Nasıl Site Hack'lenir? Bir php dosyası oluşturun. Mesela adına shell.php deyin.... [Devamı]
Bu yazı 17.01.2016 tarihinde, saat 05:51:35'de yazılmıştır.
Ders 12 - File Upload (Medium Level)
Bu yazıda güvenlik düzeyi Medium seviyesine yükseltilmiş DVWA'da shell tehditine karşı ne gibi bir önlem alındığına ve bu önlemin aşılıp aşılamayacağına değinilecektir. Dersin Hedefi Hedefiniz Medium seviyesindeki güvenliği keşfedip nasıl aşabileceğinizi öğrenmektir. Shell'e Karşı Önlem Önceki derste nasıl shell dosyası upload ederek siteyi hack'leyebileceğimizden bahsetmiştik. O derste DVWA'nın zafiyet barındıran sayfasının kullandığı kaynak kod şuydu: Low L... [Devamı]
Bu yazı 17.01.2016 tarihinde, saat 06:53:59'de yazılmıştır.
Ders 13 - File Upload (High Level)
Bu yazıda güvenlik düzeyi High seviyesine yükseltilmiş DVWA'da shell tehditine karşı ne gibi bir önlem alındığına ve bu önlemin aşılıp aşılamayacağına değinilecektir. Dersin Hedefi Shell'e karşı nasıl etkili bir güvenlik temin edilebileceğini keşfedin. Shell'e Karşı Önlem File Upload bölümünün ilk dersinde shell upload ederek bir siteyi nasıl hack'leyebileceğimizden bahsetmiştik. İkinci derste ise shell tehditine karşı alınmış bir güvenlik önleminden ve bu güvenlik önleminin ... [Devamı]
Bu yazı 17.01.2016 tarihinde, saat 07:42:06'de yazılmıştır.
Ders 14 - SQL Injection (Low Level)
Bu yazıda DVWA adlı web uygulamasının içerisinde bulunan bir sayfanın güvenlik zafiyetinden faydalanarak SQL Injection saldırısında bulunulacaktır. Dersin Hedefi Hedef sitenin veritabanında saklı olan admin şifresini SQL Injection açığından faydalanarak öğrenin. SQL Injection Nedir? SQL Injection, yani SQL Enjeksiyonu saldırısı bir web uygulamasına bağlı istemcinin gireceği input verisi aracılığıyla sunucudaki var olan SQL sorgusuna yeni SQL sorgusu ilave etmesine, diğer tabirle enje... [Devamı]
Bu yazı 17.01.2016 tarihinde, saat 08:23:15'de yazılmıştır.
Ders 15 - SQL Injection (Low Level) II
Bu yazıda güvenlik düzeyi tıpkı bir önceki derste olduğu gibi Low Level iken DVWA'ya SQL Injection saldırısı uygulanacak ve bu seferkinde hassas dosyalara erişim, sayfa hack'leme gibi pratik uygulamalar yapılacaktır. Dersin Hedefi SQL Injection saldırısıyla hedef sistemin hassas dosyalarını okuyun ve hedef web uygulamasının (DVWA'nın) anasayfasını hack'leyin. Uyarı Bu yazıda SQL Injection'ın nasıl yapıldığına dair detaylı açıklama bulamayacaksınız. Çünkü daha önceki derste ... [Devamı]
Bu yazı 17.01.2016 tarihinde, saat 16:00:35'de yazılmıştır.
Ders 16 - SQL Injection (Medium Level)
Bu yazıda güvenlik düzeyi Medium seviyesine yükseltilmiş DVWA'nın SQL Injection'a karşı aldığı önlem incelenecektir. Dersin Hedefi Medium seviyesindeki güvenliği aşın ve yine SQL Injection yapın. SQL Injection'a Karşı Önlem Eğer önceki yazıları okumuşsanız artık biliyorsunuz ki SQL Injection yapıp yapamayacağımıza tırnak karakterini uygulamaya göndererek hata verip vermemesine göre saptayabiliyoruz. Önceki derslerde yapılan SQL Injection aşağıdaki kaynak kod yüzünden yapıl... [Devamı]
Bu yazı 17.01.2016 tarihinde, saat 16:10:06'de yazılmıştır.
Ders 17 - Blind SQL Injection (Low Level)
Bu yazıda DVWA adlı web uygulamasının içerisinde bulunan bir sayfanın güvenlik zafiyetinden faydalanarak Blind SQL Injection saldırısında bulunulacaktır. Dersin Hedefi Blind SQL Injection methoduyla DVWA'nın admin kullanıcısının şifresini keşfedin. Blind SQL Injection Nedir? Geçen ders bir SQL Injection saldırısı nasıl yapılırdan bahsetmiştik. Hatırlarsanız o saldırının mihenk noktası web sayfasının verdiği SQL syntax hatalarıydı. Girilen enjeksiyon kodlarına (tırnak... [Devamı]
Bu yazı 19.01.2016 tarihinde, saat 14:04:00'de yazılmıştır.
BGA Sınav Soruları 2016
Bu yazıda BGA sınavlarına hazırlanma konusunda tavsiyelerde bulunulacaktır ve 2016 Kış Kampı elemeleri için yapılan sınav soruları paylaşımında bulunulacaktır. BGA Nedir? Açılımı Bilgi Güvenliği Akademisi olan BGA güvenlik üzerine şirketlere, kurumlara danışmanlık hizmeti veren bir şirkettir. Bu şirket ismindeki "... Akademisi" kelimesinden de anlayabileceğiniz üzere danışmanlık hizmeti yanında eğitimler de vermektedir. Bu nedenle bence Türkiye'deki güvenlik sektörünün lokomotifidi... [Devamı]
Bu yazı 19.01.2016 tarihinde, saat 15:53:31'de yazılmıştır.
Ders 18 - Blind SQL Injection (Medium Level)
Bu yazıda güvenlik düzeyi Medium seviyesine yükseltilmiş DVWA'ya karşı halen Blind SQL Injection saldırısı yapılabiliyor muyu ele alacağız. Dersin Hedefi Sınırları aşın ve yine Blind SQL Injection ile admin'in şifresini ele geçirin. Uyarı Bu yazı Ders 17 - Blind SQL Injection (Low Level) yazısının devamı niteliğinde olduğundan dolayı kopukluk yaşamamak için öncelikle o yazıyı okumanızı şiddetle öneririm. Aksi takdirde orada detaylandırılmış fakat burada detaylandırılm... [Devamı]
Bu yazı 19.01.2016 tarihinde, saat 21:52:15'de yazılmıştır.
Ders 19 - Reflected XSS (Low Level)
Bu yazıda DVWA adlı web uygulamasının içerisinde bulunan bir sayfanın güvenlik zafiyetinden faydalanarak XSS yoluyla saldırıda bulunulacaktır. Dersin Hedefi DVWA adlı web uygulamasındaki kullanıcının oturumunu senaryo gereği çalın. Reflected XSS Nedir? Açılımı Cross-Site Scripting olan XSS saldırıları Reflected XSS, Stored XSS ve DOM XSS olmak üzere üçe ayrılmaktadır. Reflected XSS saldırısı bir web uygulamasının veri giriş noktalarında eğer denetleme/filtreleme/blokla... [Devamı]
Bu yazı 21.01.2016 tarihinde, saat 22:21:53'de yazılmıştır.
Ders 20 - Reflected XSS (Medium Level)
Bu yazıda güvenlik düzeyi Medium seviyesine yükseltilmiş DVWA'da Reflected XSS'e karşı ne gibi bir güvenlik önlemi alındığı incelenecektir ve alınan güvenlik önlemine rağmen yine Reflected XSS saldırısı düzenlenebilir mi sorusuna yanıt aranacaktır. Dersin Hedefi Hedefiniz Medium seviyesindeki güvenliği keşfedip nasıl aşabileceğinizi öğrenmektir. Reflected XSS'e Karşı Önlem Geçen ders nasıl Reflected XSS saldırısı yapılırı hem teorik hem de pratik olarak görmüştük. O... [Devamı]
Bu yazı 22.01.2016 tarihinde, saat 07:46:14'de yazılmıştır.
Ders 21 - Reflected XSS (High Level)
Bu yazıda güvenlik düzeyi High seviyesine yükseltilmiş DVWA'da Reflected XSS'e karşı ne gibi bir güvenlik önlemi alındığı incelenecektir ve alınan güvenlik önlemine rağmen yine Reflected XSS saldırısı düzenlenebilir mi sorusuna yanıt aranacaktır. Dersin Hedefi Hedefiniz High seviyesindeki güvenliği keşfetmektir. Reflected XSS'e Karşı Önlem Geçen derste bahsedilen güvenlik önlemi aşılabilmişti. Şimdi bir de güvenlik High seviyesinde kullanılan güvenlik önlemine bakalım: <?php ... [Devamı]
Bu yazı 22.01.2016 tarihinde, saat 08:29:31'de yazılmıştır.
Ders 22 - Stored XSS (Low Level)
Bu yazıda DVWA adlı web uygulamasının içerisinde bulunan bir sayfanın güvenlik zafiyetinden faydalanarak XSS yoluyla saldırıda bulunulacaktır. Dersin Hedefi DVWA adlı web uygulamasındaki kullanıcının oturumunu senaryo gereği çalın. Uyarı Bu yazı Reflected XSS (Low Level) yazısının devamı niteliğinde olduğundan dolayı orada bahsedilen detaylara burada girilmeyecektir. Bu nedenle kopukluk yaşamamak için önce Reflected XSS (Low Level)'ı daha sonra bu yazıyı okumanız önerilir. ... [Devamı]
Bu yazı 22.01.2016 tarihinde, saat 08:58:30'de yazılmıştır.
Ders 23 - Stored XSS (Medium Level)
Bu yazıda güvenlik düzeyi Medium seviyesine yükseltilmiş DVWA'da Stored XSS'e karşı ne gibi bir güvenlik önlemi alındığı incelenecektir ve alınan güvenlik önlemine rağmen yine Stored XSS saldırısı düzenlenebilir mi sorusuna yanıt aranacaktır. Dersin Hedefi Hedefiniz Medium seviyesindeki güvenliği keşfedip nasıl aşabileceğinizi öğrenmektir. Stored XSS'e Karşı Önlem Geçen ders nasıl Stored XSS saldırısı yapılırı hem teorik hem de pratik olarak görmüştük. O derste bizim Stor... [Devamı]
Bu yazı 22.01.2016 tarihinde, saat 12:02:17'de yazılmıştır.

#Arşiv


#Giriş

ID :
Şifre :