Ders 2 - General > Http Basics

Webgoat uygulamasının General ünitesinde yer alan ilk dersimiz Http Basics, yani Http Temelleri üzerinedir. Bu ders ile Webscarab'ın kullanılışını ve http iletişimini bir nebze öğrenmiş olacaksınız. Bu derste bunların yanısıra önceki derste tanıtılan butonlara da tekrar değinilecektir.

Her derste Dersin Hedefi başlıklı yazı bölümü yer alacaktır. Dersin Hedefi bölümü WebGoat uygulama arayüzünde yapacağınız görevlerden - mesela yapılması gereken siber saldırıdan - bahsedecektir. Bu blogdaki webgoat yazılarının Dersin Hedefi bölümünü okuduğunuz takdirde yazıya devam etmeyiniz ve dersi verilen bilgiler ışığında kendi başınıza tamamlamaya çalışınız. Eğer ingilizcenize güveniyorsanız bu bölümü Webgoat arayüzündeki Lesson Plan adlı butona tıklayarak da okuyabilirsiniz. Açıklamalar başlıklı bölümde derste geçen kavramlardan, ekstra bilgilerden bahsedilecektir. Dersin Çözümü başlıklı bölümde ise dersi nasıl başarıyla tamamlayacağınızdan bahsedilecektir.

Dersi uğraşlarınız sonucu tamamladığınızda Webgoat ders listesinde ilgili dersin yanında ✔(tick) işaretini görüyor olacaksınız. Aynı zamanda dersin içeriğinde kırmızı renkli bir "* Congratulations. You have successfully completed this lesson." cümlesini görüyor olacaksınız. Bunlar, dersi başarıyla tamamladığınızı ifade etmektedir. Şimdi dersin hedefine odaklanalım.

Dersin Hedefi

Ekranda gördüğünüz metin kutusuna bir kelime girin. Ardından Go! butonuna tıklayın. Bu süreci Webscarab ile takip edin.

Açıklamalar

Öncelikle konumuz gereği HTTP protokolünün çalışma şeklinden biraz bahsedelim. Bir istemci sunucudan bir web sayfası talep ettiğinde - yani url'sini tarayıcının adres çubuğuna girdiğinde - handshake diye adlandırılan bir "el sıkışma" prosedürü uygulanır. Bu prosedüre göre istemci sunucu ile bağlantı kurabilmek için SYN adı verilen senkronizasyon paketi gönderir. Sunucu bu pakete karşılık yanıt olarak SYN/ACK adı verilen senkronizasyon/onaylama paketini gönderir. İstemci bunun akabinde ACK paketini sunucuya göndererek iletişim başlatılmış olur ve web sayfası sunucudan istemciye böylece yollanır. Bağlantı kurma adımları internetin taa 90'lı yıllardan beri kullanılmakta olan HTTP 1.1 versiyonunun çalışma şekline dayanır.

Bağlantı kurulduktan sonra istemciye gelen html sayfasını tarayıcı analiz eder ve html kodlarında belirtilen tüm diğer dosyaları sunucudan talep eder. Bu dosyalar betik(javacript kodları), resim, css dosyası,... vs olabilir. Her bir dosya talebi için sıfırdan yeni bir bağlantı kurulur. Sanki önceden hiç kurulmamış gibi. Yani yine handshake prosedürü uygulanır. İşte bu HTTP 1.1 versiyonunun bir handikabıdır. Bu handikap yüzünden internet hızı ne kadar hızlı olursa olsun web sayfası görüntüleme hızı arzulanan seviyelere çıkamamaktadır. HTTP 2.0 versiyonu ile bu soruna çözüm bulunmuştur, fakat hala halledilmesi gereken bazı noktaları mevcuttur.

Biraz da ders içerisinde kullanacağımız butonlara değinelim. Ders1 - Introduction(Giriş) yazısında zaten butonlara değinilmişti. Burada sadece önceki yazıda detaylandırılmamış butonlar bahsedilecektir. O yazıda hatırlayacağınız üzere Show Params ve Show Cookies butonları vardı. Show Params butonu, sunucuya yapılan talep için bu talebe eklenen parametreleri ve parametre değerlerini görüntüler. Bu şu anlama gelir: Diyelim ki metin kutusuna veri girdiniz ve butona bastınız. Bu durumda girdiğiniz veri bir değerdir(value'dur). Bu değer butona bastığınız takdirde bir değişkene(parametreye) atılarak sunucuya gitmektedir. Show Params butonuna tıklayarak girdiğiniz veriyi ve başka verileri de ders içeriğinin üzerinde kırmızı renkli olarak görüntüleyebilirsiniz. Aşağıdaki resimde görebileceğiniz üzere metin kutusuna girilen veri ve başka değerler buton ile gönderildikten sonra Show Params aracılığıyla ekranda görüntülenmektedir:

Parametreler ve değerleri ayrıca Webscarab yazılımı ile de görüntülenebilmektedir. WebScarab kullanımı Dersin Çözümü başlığı altında anlatılacaktır.

Show Cookies butonu ise çerezi göstermeye yarar. Çerez, sunucunun bizi hatırlamasını sağlayan veriye denir. Bu kavramı biraz daha açıcak olursak HTTP 1.1'de bir sunucuya mesela web sayfası talebinde bulunduğumuzda talebimize karşılık yapılan handshake prosedürü akabinde web sayfası verildikten sonra tekrar web sayfası talebinde bulunulduğunda sunucu aynı istemciyi hatırlamaz, tanıyamaz. Çünkü HTTP bu durum için kabiliyetli değildir. Bu sorunu çerezler çözer. J2EE(Java To Enterprise Edition) web uygulamasında JSessionID, çerezi ifade eder. J2EE web uygulaması istemciye bir karakter dizisi verir ki bu karakter dizisine çerez denir. İstemci diğer taleplerinde talebinin yanında bu karakter dizisini de göndererek sunucunun kendini hatırlamasını sağlar. Aldığı karakter dizisinin tekrarını gören sunucu ise anlar ki bu talep önceki talebi yapan tarafından yapılıyor.

Dersin Çözümü

Ekranda gördüğünüz metin kutusuna girdiğiniz kelime Go! butonuna tıklanıldıktan sonra talebinize eklenecek ve sanal sunucuya gidecektir. Burada java code'ları ile bu veri işlenecek ve terslenip metin kutusuna geri döndürülecektir. Bu süreci WebScarab ile inceleme hususuna gelince öncelikle webscarab'ı ne amaçla kullanacağımızdan bahsedelim. WebScarab, http iletişimini kesmeye yarayan ve çeşitli bilgileri sunma kabiliyetine sahip bir yazılımdır. Http iletişimini kesmekten kasıt şudur: Siz metin kutusuna bir veri girdiniz ve butona basarak gönderdiniz diyelim. Bu yaptığınıza talep(request) denmektedir. Sunucuya yaptığınız bu talebi kesebiliyorsunuz ve gönderdiğiniz veriyi manipule edip sunucuya o şekilde gitmesini sağlayabiliyorsunuz. Ayrıca sunucudan gelen yanıtın(response'un) önünü de kesebiliyorsunuz. Tüm bu işlemleri yapabilmek için sadece iki kutucuğa tik koymak yeterlidir. Tik'ler sayesinde siz webgoat uygulamasında yapmış olduğunuz tüm taleplerin önünü kesebiliyor olacaksınız. Bu kesme işlemi ekrana popup şeklinde açılan bir pencere olarak yansıyacaktır. Önce bu tik işaretlerinin nerelere koyulduğunu gösterelim. WebScarab'daki "Intercept" adlı sekmeye tıklayın.

Ekrana gelen yeni birimdeki sarı ile vurgulanmış alanlardan ilki olan "Intercept Request" kutucuğu taleplerin önünü kesmeye yarar. Diğer vurgulanmış alandaki "Intercept Response" kutucuğu ise yanıtların önünü kesmeye yarar. İki kutucuğa da tick işaretini koyun ve derse geri dönün. Metin kutusuna bir karakter dizisi girin. Ardından butona tıklayın. Ekrana gelen popup şu şekilde olacaktır:

Yukarıdaki resimde ok ile vurgulanmış alan benim metin kutusuna girdiğim karakter dizisini göstermektedir. Siz de sizin girdiğiniz karakter dizisini görüntülüyor olacaksınız. Bu alan POST methodu ile gönderilmekte olan parametre ve değerlerini barındırmaktadır. Metin kutusunun verisine bu birim üzerinden çift tıklayıp dilediğiniz gibi değeri değiştirebilirsiniz. Eğer Accept Changes butonuna tıklarsanız ve diğer açılan tüm pencereler için Accept Changes derseniz lamer düzeyinde bir man in the middle saldırısı yapmış olursunuz. Fakat şu an için butonlara basmayın ve okumaya devam edin. Az önce bahsettiğim "Lamer" kelimesi, işin derinliğine vakıf olmadan çeşitli yazılımlar ile siber saldırı yapan kişiye denmektedir. Man in the middle ise adı üstünde aradaki adam saldırısıdır. Yani, bir istemci vardır ve bir de sunucu. Aradaki iletişimi kesen veyahut dinleyen ve dolayısıyla çalan çırpan kişi ise aradaki adamdır - man in the middle'dır.

Şimdi Accept Changes butonuna basın. Accept Changes butonuna tıkladığınızda WebScarab'ın bir öncekine benzeyen bir başka popup penceresi açılacaktır. Bu yeni pencere sunucunun verdiği yanıtı barındırır. Bu pencere için de Accept Changes deyiniz ve ardından birkaç pencere daha ekrana gelecektir. Bunlar ise sunucunun bize gönderdiği html dosyası içerisindeki css dosyalarını gösteren linklerin ve resimlerin otomatik olarak talebe neden olması akabinde sunucudan dönen yanıtları temsil ederler. Bu yanıtlar tahmin edebileceğiniz üzere css dosyasını ve resimleri barındırır. Peki bunları ben nereden biliyorum dersiniz?

Yukarıdaki resimde url'ye bakınca zaten .css uzantısını görüyorsunuz. Orada .png , .gif ,... vs'i de olabilirdi. Bu şekilde olaya vakıfım. Ayrıca dönen talebin içeriğini Raw adlı sekmeye tıklayarak da görebilirsiniz. Tüm pencerelere Accept Changes diyerek sonlandırdığınızda dersi başarıyla bitirdiğinizi söyleyen tick işaretini ve kırmızı bildirimi göreceksiniz.

Şimdilik bu kadar. Yeri geldikçe WebScarab'ı kullanacağız. Bu derste WebScarab'ın nasıl kullanıldığından bir parça bahsetmiş olduk. Gelecek derste görüşmek üzere....

Yararlanılan Kaynaklar

http://www.tutorialspoint.com/listtutorial/What-is-JSESSIONID-Cookie-in-J2EE-web-applications/4214
Chip Dergisi - Sayı: Mart 2015 | Sayfa 24
Bilişimin Karanlık Yüzü - Sayfa 39

Bu yazı 18.04.2015 tarihinde, saat 18:29:20'de yazılmıştır. 23.06.2019 tarihi ve 22:57:19 saatinde ise güncellenmiştir.

Yazar : Hasan Fatih ŞİMŞEK

Görüntülenme Sayısı : 2236

Yorumlar

Henüz yorum girilmemiştir.

Yorum Ekle

	#Kategoriler
	->	Genel
	->	Webgoat Uygulaması
	->	DVWA Uygulaması
	->	Çeşitli Sızma Teknikleri
	->	Güvenlik Araçları
	->	Linux Temelleri
	->	Genel Kültür (Siber Güvenlik)

#Popüler Yazılar
	->	Faz Açısını Hesaplama
	->	Hub, Switch, Router, Modem, Gateway ve Access Point Farkları
	->	Ders 12 - Ajax Security > DOM-Based cross-site scripting
	->	GET ile POST Arasındaki Fark
	->	BGA Sınav Soruları 2016

#En Son Yazılar
	->	Apache Web Sunucuyu Yurt Dışı (Türkiye Dışı) Trafiğe Kapama
	->	Siber Güvenlikte Düşük Seviye Açıklık Nedir
	->	Haberleşme Teknolojisi
	->	Oyun Motoru Nedir
	->	Arp Spoofing İlave Uygulamalar

#Arşiv
	► 2014 ► Ekim (1) • Blog Maceram Başlar ► Kasım (7) • Parazit ve Gürültü Arasındaki Fark Nedir? • Stack ve Heap Arasındaki Fark • Sinyal Denkleminin Anlamı • Periyot ve Frekans Nedir? • Faz Açısını Hesaplama • Üniversite Öğrencilerinin Sağlık Aktivasyonu • Nesne Yönelimli Programlama Nedir ► Aralık (3) • Skype'ta Birbirimizin Sesini Nasıl Duyuyoruz? • Hub, Switch, Router, Modem, Gateway ve Access Point Farkları • Askerlikle İlgili Sorular ► 2015 ► Ocak (1) • Dev Firmaların Mülakatlarda Sorduğu 15 Çetin Soru ► Şubat (4) • Yapay Zeka İnsanı Geçemez • Webgoat Nedir? • Ubuntu 14.04 LTS Linux'a Webgoat Kurulumu • Windows'a Webgoat Kurulumu ► Mart (1) • Ders 1 - Introduction(Giriş) ► Nisan (3) • Ders 2 - General > Http Basics • Ders 3 - General > Http Split • Ders 4 - Access Control Flaws > Using an Access Control Matrix ► Mayıs (7) • Ders 5 - Access Control Flaws > Bypass a Path Based Access Control Scheme • Ders 6 - Role Based Access Control > Stage 1 • Ders 7 - Role Based Access Control > Stage 2 • Ders 8 - Role Based Access Control > Stage 3 • Ders 9 - Role Based Access Control > Stage 4 • Ders 10 - Access Control Flaws > Remote Admin Access • Ders 11 - Ajax Security > Same Origin Policy Protection ► Haziran (4) • Ders 12 - Ajax Security > DOM-Based cross-site scripting • Ders 13 - Ajax Security > Client Side Filtering • GET ile POST Arasındaki Fark • Ders 14 - Ajax Security > DOM Injection ► Temmuz (7) • Ders 15 - Ajax Security > XML Injection • Ders 16 - Ajax Security > JSON Injection • Ders 17 - Ajax Security > Silent Transactions Attacks • UML Sınıf Diyagramları • UML Sınıf Diyagramı İlişkileri • Association vs. Aggregation vs. Composition • Ders 18 - Ajax Security > Dangerous Use of Eval ► Ağustos (2) • Ders 19 - Ajax Security > Insecure Client Storage • Ders 20 - Authentication Flaws > Password Strength ► Eylül (11) • Ders 21 - Authentication Flaws > Forgot Password • Ders 22 - Authentication Flaws > Basic Authentication • Ders 23 - Authentication Flaws > Multi Level Login 1 • Ders 24 - Authentication Flaws > Multi Level Login 2 • Ders 25 - Buffer Overflows > Off-by-One Overflows • Ders 26 - Code Quality > Discover Clues in the HTML • Ders 27 - Concurrency > Thread Safety Problems • Ders 28 - Concurrency > Shopping Cart Concurrency Flaw • Ders 29 - Cross-Site Scripting (XSS) > Phishing with XSS • Ders 30 - Cross-Site Scripting (XSS) > Stage 1: Stored XSS • Ders 31 - Cross-Site Scripting > Stage 2: Block Stored XSS using Input Validation ► Ekim (0) ► Kasım (0) ► Aralık (0) ► 2016 ► Ocak (27) • DVWA Nedir? • Windows'a DVWA Kurulumu • Ubuntu 14.04 LTS Linux'a DVWA Kurulumu • Ders 1 - DVWA'ya Giriş • Ders 2 - Brute Force (Low Level) • Ders 3 - Brute Force (Medium Level) • Ders 4 - Command Injection (Low Level) • Ders 5 - Command Injection (Medium Level) • Ders 6 - Command Injection (High Level) • Ders 7 - Cross Site Request Forgery (Low Level) • Ders 8 - File Inclusion (Low Level) • Ders 9 - File Inclusion (Medium Level) • Ders 10 - File Inclusion (High Level) • Ders 11 - File Upload (Low Level) • Ders 12 - File Upload (Medium Level) • Ders 13 - File Upload (High Level) • Ders 14 - SQL Injection (Low Level) • Ders 15 - SQL Injection (Low Level) II • Ders 16 - SQL Injection (Medium Level) • Ders 17 - Blind SQL Injection (Low Level) • BGA Sınav Soruları 2016 • Ders 18 - Blind SQL Injection (Medium Level) • Ders 19 - Reflected XSS (Low Level) • Ders 20 - Reflected XSS (Medium Level) • Ders 21 - Reflected XSS (High Level) • Ders 22 - Stored XSS (Low Level) • Ders 23 - Stored XSS (Medium Level) ► Şubat (0) ► Mart (0) ► Nisan (0) ► Mayıs (0) ► Haziran (0) ► Temmuz (0) ► Ağustos (0) ► Eylül (0) ► Ekim (0) ► Kasım (0) ► Aralık (0) ► 2017 ► Ocak (0) ► Şubat (0) ► Mart (0) ► Nisan (0) ► Mayıs (0) ► Haziran (0) ► Temmuz (0) ► Ağustos (0) ► Eylül (0) ► Ekim (0) ► Kasım (0) ► Aralık (0) ► 2018 ► Ocak (0) ► Şubat (0) ► Mart (0) ► Nisan (0) ► Mayıs (0) ► Haziran (0) ► Temmuz (0) ► Ağustos (0) ► Eylül (1) • Ve Blog'a Döndüm ► Ekim (0) ► Kasım (6) • Metasploit Framework'e Giriş • Metasploit ile Bir Sızma Uygulaması (ms08-067) • Metasploit Saldırı Aşamaları (Özet) • Metasploit Komutları • Metasploit Detay Bilgiler • Metasploit Detay Bilgiler (Özet) ► Aralık (0) ► 2019 ► Ocak (0) ► Şubat (0) ► Mart (2) • Arp Spoofing Saldırısı Nedir ve Nasıl Yapılır • Arp Spoofing İlave Uygulamalar ► Nisan (0) ► Mayıs (0) ► Haziran (1) • Oyun Motoru Nedir ► Temmuz (1) • Haberleşme Teknolojisi ► Ağustos (0) ► Eylül (0) ► Ekim (0) ► Kasım (0) ► Aralık (0) ► 2020 ► Ocak (1) • Siber Güvenlikte Düşük Seviye Açıklık Nedir ► Şubat (0) ► Mart (0) ► Nisan (0) ► Mayıs (0) ► Haziran (0) ► Temmuz (0) ► Ağustos (0) ► Eylül (0) ► Ekim (0) ► Kasım (0) ► Aralık (0) ► 2021 ► Ocak (0) ► Şubat (0) ► Mart (0) ► Nisan (0) ► Mayıs (0) ► Haziran (0) ► Temmuz (0) ► Ağustos (0) ► Eylül (0) ► Ekim (0) ► Kasım (0) ► Aralık (0) ► 2022 ► Ocak (0) ► Şubat (0) ► Mart (0) ► Nisan (0) ► Mayıs (0) ► Haziran (0) ► Temmuz (0) ► Ağustos (1) • Apache Web Sunucuyu Yurt Dışı (Türkiye Dışı) Trafiğe Kapama ► Eylül (0) ► Ekim (0) ► Kasım (0) ► Aralık (0) ► 2023 ► Ocak () ► Şubat () ► Mart () ► Nisan () ► Mayıs () ► Haziran () ► Temmuz () ► Ağustos () ► Eylül () ► Ekim () ► Kasım () ► Aralık () ▼ 2024

#Giriş

	ID	:
	Şifre	: