1. http://www.gokhangokcinar.com/
BilişimNotları
"Bilgisayarlardankorkmuyorum.Onlarınyokluğundankorkuyorum."--ISAACASIMOV
Ana SayfaHakkımdaİletişimProjelerimKaralamaDefteri
26 Kasım 2014 Çarşamba
5-) BACKTRACK5 R3 İLE SQL INJECTION( VERİTABANIAÇIĞI ) BULUNMASI VE VERİTABANINA
GİRİLMESİ
MerhabaArkadaşlar;
Uzun biraradan sonra tekrarBacktrack yazı dizisine devamediyorum.Bukonumuzdasizlere
elimdengeldiğince SQLInjection( StructuredQueryLanguage Injection)hakkındabilgi vermeye
çalışacağım ve video'daise canlı olarakhedeflediğimizsitemizinveri tabanınaulaşmayaçalışacağız.
Öncelikle SQLInjectionbirVeri Tabanıgüvenliği açığıolarak bilinenbirsaldırışeklidir.Günümüzde
kullanımıoldukçayaygınve gelişmektedir.Ençokkullanılantaraflarıgenel olaraküye giriş
panelleri,kayıtişlemleri gibi yerlerde kullanılmasıyaygındır.
SQL InjectionWebUygulamalari açığıbaşlığı altındayeralır fakatbenfazladanbaşlıklaryerine
konuyuelimdengeldiğince kademe kademe işlemeye ve videoluanlatımyapmayaçalışacağım.
Evetarkadaşlarelbette kimseyaptığıveyakullandığıwebsitesininveri tabanınaerişilmesi istemez
çünkübüyükproblemlere sebepolabilir.Mesela;Güvenirliğitamolmayan,sadece sonuçodaklı
çalışan birAlişveriş sistesinidüşünelim.Buradasonuçodaklısöylememinsebebi yani site yöneticisi
sadece kar durumunubenimsemişaslasitesininPenetrasyonTestine tutmamış,Saldırısenaryolarına
karşı ne yapacağı hakkındabilgisi olmayanbirsitedenbahşediyorum.:) Tabi böyle sitelerinvarlığı
hele hele kredikartları,hesapkartlarıkullanıldığıiçinenüstseviye güvenlikli olmasıgerekir.Neyse
konuyufazlauzatmıyorumve senaryomadevamediyorum...Oalışverişsitesindençokgüzel birürün
beğendinizdedinizki buürün benimolmalı:) Hemenişe koyuldunuzbirde ne görüyorsunuzkayıt
olmanızlazım :) Ama sizinumrunuzdamıtabi ki değil çünküoürünüçok istiyorsunuz.:) Hemenkayıt
işleminizgerçekleştiriyorsunuzve siteye girişiyapıyorsunuz.Amabilmediğinizbirşeyvarsite belki de
kredi kartı no'sunukayıt etmenizi isteyebilir(buihtimal çokdüşükolsadatekrarhatırlatmakta fayda
var şu anda birsenaryouyduruyorum) Neyse sonrasizkredi kartıno'yukayıt ediyorsunuzama
sadece sizdeğil oişlemi başkalarıdakayıtediyor.Ve dahabir çokbilginizde ele geçiriliyor.Sizbir
ürün isterkenbi bakmışınız10 ürün alınmıs tabi bu iyi tarafı :) İşte bu tür saldırı senaryolarıbaşında
2. veri tabanını iyi koruyamamayada açıklıklar bulunması....Tabi birwebsitesini SQL Injection
saldırılarındankoruyabiliriz.Bununlailgili çözümleriilerde paylaşacağım.
Şimdi ihiyacımızolanşeyilkönce birhedef site belirlememiz.Bunuvideo'daanlatacağımama
burada da yazmamdafaydavar diye düşündüm.
Google arama çubuğuna" inurl:news.php?=id"yazıyoruz.Veri tabanıaçığı olanveyaSQL Injection
saldırısı içinuygunsitelersıralanıyor.Busiteleri farklışekilde de bulabilirizamaenuygunuyukarıda
yazdığım dork'tur.
Yukarıda yaptığımız işlemle hedef sitemizibelirledik. Şimdi artıksıra işlemlerimizi gerçekleştirmede :)
Bundanönce video'dakullanacağımprogramve kodlardanbahsedeyim.
Önceliklewindowsortamındakullanacağımız( zorunludeğil ) havij yazılımınıindiriyoruz.
Daha sonra SqlMapkullanacağımıziçinBacktrack 5 R3 işletimsistemine ihtiyacımızvar.
Şimdi de Backtrack5' de Terminal ekrandayazacağımızkodlarıyazalım.
" pyton./sqlmap.py -u[ hedef site ismi] --dbs"--->Veri tabanlarınılisteler.
" pyton./sqlmap.py -u[hedef site ismi] -D[seçilen veritabanı] --tables"--->Tablolarılisteler.
" pyton./sqlmap.py -u[hedef site ismi] -D[seçilenveritabanı] -T[seçilentabloadı] --columns"--->
seçilentablodaki verileri getirir.
" pyton./sqlmap.py -u[hedef site ismi] -- dump-T[Tabloadı] -D [ seçilenveritabıadı] " --->kolonların
içerisindeki bilgileri getirir.
Aşağıdaki videodabuişlemlerinnasıl yapıldığınıgöstermeye çalışacağım.
3. GönderenBurakGökçınar zaman: 01:28 Hiç yorumyok:
BunuE-postaylaGönder
BlogThis!
Twitter'daPaylaş
Facebook'taPaylaş
Pinterest'te Paylaş
Etiketler:Backtrack5 r3, PenetrasyonTestleri,SızmaTestleri,SQLINJECTION,SqlMap,veri tabanı
güvenlik
12 Kasım 2014 Çarşamba
JAVA SOKETPROGRAMLAMA (DEVAM)
ArkadaşlarJava'da SoketProgramlamayadahaönce basitbirgirişyapmıştık.Şimdi ise birazdaha
detaylışekildeele almayaçalışacağız.Yapılan çalışmalarECLİPSE'de yapıyorumdiğerjava
derleyicilerini de elbettekullanabilirsiniz.
Öncelikle sizinle paylaşmayaçalışacağımkonusoketprogramınServer-Clienttarafındanasıl
işlendiği,neleryapılmasıgerektiği ve nasıl çözümlenmesi gerektiğindenbahsetmeliyiz.Soket
programlamada Serverve Clientayrıayrı kodlanır.Daha önceki konudadirekörneği paylaşmambiraz
çalışma mantığını özetliyortabiki de amabenyine de söylemekistedim.:)
Programınalgoritmasınagöre tasarlanankodlarkümesindeServertarafıClient(istemci) tarafına
istenilendatalarıbarındırır ve paylaşır.Client(istemci)ise budatalarıvb.yapıları işlerServer-Client
arası mekikokumagibi işlemleryapılır.Bunuyaparkende tabi ki birport no'da buişlemlersağlanır.
Biraz kafanızKarışmış olabiliramabunlailgilisimple birörnekyapıncabirazdahaaçıklayıcı olurum
4. umarım :) Tabi bir soketprogram'danbahsederkensadece server-client'denibaretdeğil amailk
başlangıçadımlarımız içinbu terimleryeterlidir.TCP/IPSoketprogramlamaolarakdalitaratürde
geçer.Habarleşme de portno'larınkullanılacağındanbahsetmiştik.Bazıyapılariçinport numaralarını
sizinle paylaşmakisterim.
ftp 21/tcp
telnet 23/tcp
smtp 25/tcp
login 513/tcp
http 80/tcp
https 443/tcp
Bu bölümde birazdahaolayıdetaylandırdık.SoketProgramlamasadece Java'dadeği C/C++,C#gibi
programlamadillerindede işlenenkonudur.
Şimdi size Server-Clientyapısı'nınnasıl olmasıgerektiğini,genelmantıkyapılarınıbir örneküzerinden
videoüzerindengöstermeye çalışayım.İnşallahyararlıolabilirim.
GönderenBurakGökçınar zaman: 03:04 Hiç yorumyok:
BunuE-postaylaGönder
BlogThis!
Twitter'daPaylaş
Facebook'taPaylaş
Pinterest'te Paylaş
5. 8 Kasım 2014 Cumartesi
JAVA SOCKETPROGRAMMING
Soket,birsunucuprogramı ve birveyabirdençokistemci programıarasında çiftyönlüiletişimkuran
bir yazılımuç noktasıdır.
Sunucuprogramı genellikle istemci programlarıağınakaynaksağlar.İstemci programları,sunucu
programına isteklergönderirve serverprogramıda bu isteklere yanıtverir.
Thread(işparçacığı) kullanarak,multi-threaded(çokluişparçacığı) sunucuprogramı istemcidengenel
bağlantıyıkabul edebilir,bubağlantıiçinthreadbaşlatılırve diğeristemcilerinistekleri dinlenilmeye
devamedilir.
"java.net"paketi 2yaygın ağ protokolüiçindesteksağlar:
* TCP: TCP,TransmissionControl Protocol anlamınagelirve buprotokol iki uygulamaarasında
güveniliriletişimsağlar.TCPgenellikle,TCP/IPolarakanılanInternetProtocol üzerindenkullanır.
* UDP : UDP, User Datagram Protocol anlamınagelir,ve bubağlantısızprotokol uygulamalararasında
aktarılacak veri paketleri sağlar
SoketProgramlamadahagenişşekilde incelenmesinde yararverdır. SoketProgramhakkındadaha
detaylıbilgiyi "http://www.oracle.com/technetwork/java/socket-140484.html " adresinden
bulabilirsiniz.SoketProgramlamaiçinoldukçageniş yabancıkaynaklardamevcuttur.Benimburada
ki amacım size azda olsa SoketProgramhakkındabilgisi olmayaniçinveya dahaönce de duymamış
olanlariçinhatta meraklılariçinbuyazıyı uzunbir aradan sonrayazıyorum.
Örnek:
DateServer.java
package JavaSocketProgramming;
8. BlogThis!
Twitter'daPaylaş
Facebook'taPaylaş
Pinterest'te Paylaş
Etiketler:Java,Multi-Thread,SocketProgramming,SoketProgramlama,SoketProgramlamaÖrnek,
Thread
25 Ağustos2014 Pazartesi
4-) BACKTRACK5 R3 İLE HYDRA (PASSWORDATTACK) ve SET(SOCIALTOOLSATTACK) ARAÇLARIN
TANITIMI
Merhabaarkadaşlar.Belli biraradansonra tekrar Backtrack 5 R3 VE PENETRASYON testleri
araçlarının tanıtımına devametmekteyim:) Öncelikle bugüntanıtacağımaraçlargeliştirme
araçları,yöntemleri,saldırıdurumuvb.gibi detaylarca çeşitlilikgösterebilir.Butürataklardaen
önemli şeytabi ki bilgi yanındasabırdır:)
Lafı daha fazlauzatmadanHYDRA ve SET araçlarını elimdengeldiğincetanıtmayaçalışacağım.
HYDRA aracı bir şifre atakaracıdır aslındatam bir atak aracı sayılmazvideo'dadahadetaylı
anlatacağım tabi ki ama elinizde birçokkişininşifrelerivarama hangisi hangisine aitbilmiyorsunuz
mail adresini bilmenizyeterçünküomail adresine aitşifre hangisi milyontane de olsaaralarıdançok
kısa bir süre de bulupgetiriyor.SETaracı ise 'social network'yani sosyal ağlar'ınele geçirilmesini
sağlayanbiraraçtır bu araçlardan birdenfarklıyol tabi ki vardır belki de diyebilirsinizfacebookgibi
büyükbirkuruluşun/şirket'innasıl butüraçıkları olabiliyordiye ?Amabelki de atlananbiryervar
bundafacebookaslasorumluolmayacaktırve tutamazlarda çünkü;kişi kendi isteğiyle geliyoryani ne
yaparsa kendi kendine yapıyor:) Budurumtabi ki hoş karşılanmayacaktırhatta nedenanlattığımı
bile sorabilirsiniz?Bunlarıanlatmamdaki amacım hemengidinarkadaşınızınvs.hesaplarınıalın
onlarıniçeriklerini haksız/izinsizdeğiştirinşubu.....Butürdurumlarsuçtur ve bunudaha önce açıkça
daha önceki yazılarımdasöyledim.Unutmayınarkadaşlarnasıl birisininhesabınıele geçirirkenben
uzaktayımnasıl bulacakdiye sakındüşünmeyintelefonunuzakadarbulunabilirhattave hatta
dinlenebilirsizininternetortamındayaptıklarınızıizleyebilirbilgi alabilirve adresinize kadar
bulunabilir....Amabunlarıdahada geliştirebilirseksavunmasanayi,silahsanayisi,otomobil vs.gibi
alanlarada entegre edebilirsekişte ozamannedenbunlarınvarolduğudahaiyi anlaşılır...
9. İlginiziçinteşekkürederim...:)
GönderenBurakGökçınar zaman: 01:52 Hiç yorumyok:
BunuE-postaylaGönder
BlogThis!
Twitter'daPaylaş
Facebook'taPaylaş
Pinterest'te Paylaş
Etiketler:Backtrack5 r3
6 Ağustos 2014 Çarşamba
3-) BACKTRACK5 R3 İLE DNSANALİZARAÇLARIVEPİNGTARAMASI(fpingaracı)
Merhabaarkadaşlar...BugünBacktrack konumuzunbirazdahaderine iniyoruz.Yapacağımız
çalışmada DNSAnalizaynızamanda ipbakımı domainkayıtları,mail adresvb.kayıtlarıgösterme yine
DNS Analizkısmındabulunanreverseraiderilewebadreslerinipdeğerinin/aralıklarınbulunmasıve
son olarakise fpingaracı ile ağdapingataması yapılamasınıgöstereceğim.
Artık dahada görsel hale geldiğimiziçinbundansonrakilerigenelliklevideoortamındaanlatmaya
çalışacağım.
İlginize TekrarTeşekkürederim...:)
10. GönderenBurakGökçınar zaman: 04:44 Hiç yorumyok:
BunuE-postaylaGönder
BlogThis!
Twitter'daPaylaş
Facebook'taPaylaş
Pinterest'te Paylaş
Etiketler:Backtrack5 r3
5 Ağustos2014 Salı
2-) BACKTRACK5 R3 GİRİŞ-2 VE WIRESHARKTANITIMI
Merhaba arkadaşlar...BugünBacktrac 5 r3 işletimsistemihakkındabilgi vermeye devamedeceğim.
ÖnceliklePenetrasyontestlerininönemindendahaönce bahsetmiştim.Yapılanincelemeler,çıkarılan
sonuçlar,sonandadüzeltilenhatalar,küçük(önemsiz) görülenihmallerdoğrultusundaortayaileride
çıkacak büyüksorunlar...Bunlarınhiçbirininolmasınıistemeyiz...AslındaPenetrasyonTestleri bir
Hacker işi gerektirmiyorfakatişi oboyutasürenözellikle yurtdışındakişileroldukçafazla...Eğer
PenetrasyonTestleriyle Güvenliksağlamakistiyorsaköncelikle bazıterimle iyianlamamızlazım.Tabi
ki bu hemenolacakbirşeydeğil...Zamanlagöreceksinizki enazındanaklınızdabirfikirsahibi
olmuşsunuzki buTürkiye geleceği içinilerideoluşacakgüvenlik,korumavb.ihtiyaçlariçingururverici
bir durum.Unutmayınamacımız insanözgürlüğüne müdahale etmekdeğil onlarıdahadaözgür ama
güvenli hale getirmek...
Evetarkadaşlarşimdi istersenizaşağıdayayınlamışolduğumvideomuzabakalım.Videomuzda,
klavye düzeni hakkındabilgi,Bactrack5 r3 menütanıtımı ayrıca bazı termal komutları,Erişim
YetkilerininKullanılmasıve WireSharkyazılımıhakkındabilgi vereceğimve artık Penetrasyon
Testlerin'de girişimizi ilerletelim...
Ayrıca yazıylada ErişimYetkileri Hakkındabilgivereyim.
0 Sayısı 000 ---->izinyok!kullanımı: ---
1 Sayısı 001 ---->sadeceçalıştırma,kullanımı: --x
2 Sayısı 010 ---->sadeceyazma,kullanımı: -w-
3 Sayısı 011 ---->yazmave çalıştırma,kullanımı: -wx
11. 4 Sayısı 100 ---->sadeceokuma,kullanımı:r--
5 Sayısı 101 ---->okumave çalıştırma,kullanımı:r-x
6 Sayısı 110 ---->okumave yazma,kullanımı:rw-
7 Sayısı 111 ---->okuma,yazmave çalıştırma,kullanımı:rwx
NOT: ARKADAŞLARVİDEODA ERİŞİMYETKİLERİNDE8 SAYISINA KADARDEMİŞİMAMA YAZIMLAR
DOĞRU SADECEKAFA KARIŞIKLIĞIOLMASIN DİYE YUKARIDA BİR DAHA BELİRTTİM. ÖZÜR DİLERİM...
Şimdidenilginizve anlayışınıziçinTeşekkürederiz...:)
GönderenBurakGökçınar zaman: 05:40 Hiç yorumyok:
BunuE-postaylaGönder
BlogThis!
Twitter'daPaylaş
Facebook'taPaylaş
Pinterest'te Paylaş
Etiketler:Backtrack5 r3, PenetrasyonTestleri,WireShark,WireSharkyazılımı
3 Ağustos2014 Pazar
1-) BACKTRACK5 R3 VE PENETRASYON(SIZMA) TESTLERİ
12. Merhaba arkadaşlar...Geliştirdiğinizbiryazılımsizce yeterincedışarıyadönükkorunaklımı ? Peki ya
webortamlarındagezinirkeniçinizrahatrahatdolaşıyormusunuz?Acabamailinize gelenabuksabuk
mesajlarabiranlamgetiremiyormusunuz?Hatta eminimbennerelere kayıtolmuşumveya
kardeşim,yiğenimaahahhnereleregirmişböyle dediğinizi de sanki duyargibiyim:) Ozamankendi
testaşamalarınızı,güvenlikzafiyetleriolanyerlerintespitedilmesivb.birçokseybelki ilginizi çekebilir.
O zaman buyazı tam size göre...
LÜTFEN ÖNCELİKLE NOT'U DİKKATLİŞEKİLDE OKUYUNUZ...
NOT: Türk Caza Kanunun'daizinsizolarakyapılangüvenlikizleme,testaşamalarınıntespit
etme,başkalarınınözgürlüğüneenufakmüdahale edilmesi bilişimsuçuolaraknitelendirilmiştir.
BundandolayıCeza-i işlemuygulanmaktadır.Kişilerinhürve özgürlüklerine müdahale de bulunarak
kısıtlanması,kişi ve/veyakuruluşlarınizni olmadansistemtaramalarınıngerçekleştirilmesi ayrıca
izinsizşifre/dosya/evrakdeğiştirme/tahsiletme durumlarındagerekli yasalarcaceza-i işlemuygulanır.
Bunları yazmamdaki amaç sadece buolayınbir testaşamasındanoluşmadığınıbelirtmekistemem.
Çünküg-mail/hotmail hesapşifreleri ayrıcaFacebook/Twitter/Instegramgibipaylaşımhesap
şifreleri,Wi-fi ağiçerisine girme,farkedilmedenverileri kişisel PC'ye yönlendirme ayrıcaelektronik
yöndenise yapacağımızbirtakipsistemi ile klavyedengirilenhertürlüverininkişiselPC'mize
aktarılması ve Sinyal Kesiciler(Jammer) ile ilgili uygulamaaşamalarıdagenel olarakPenetrasyon
Testlerine girmekte...
Öncelikle dahaönceki yazılarımdadaanlattığımsanal makinayaişletimsistemini(Backtrack5r3) nasıl
kurulacağını ve PenetrasyonTestlerihakkındakısacabilgilervererekelimdengeldiğince anlatmaya
çalışacağım.
Backtrack 5 r3 dowland(indirme)yerinidetorrentsitesininURLadresini paylaşayım.
"http://yourbittorrent.com/torrent/3581117/bt5r3-kde-32.html"adresindenBactrack5 r3 32 bit
işletimsistemini indirebilirsiniz.İsterseniz64bit seçeneği de indirebilirsiniz.
Videodaanlattığımgibi Backtrack 5 r3 32 bitkurulumundansonra"Login"ve "Password"yerine
aşağıdaki değerleri yazınız.
LOGİN:root
PASWORD:toorveyaroot (ikisindenbiri olacaktır)
13.
14. Bilgi GüvenliğiAKADEMİSİolarakyaklaşıkbiryıldırüzerinde çalıştığımızyeni eğitimimizartıksunuma
hazır hale geldi.Eğitime aitdetaylarıaşağıdabulabilirsiniz.
EğitimTanımı:
Sibergüvenliğinsağlanmasındaengüvenli yol katmanlıgüvenlimimarisininuygulanmasıve bu
mimariye göre herkatmandailgili çözümlerintercihedilmesidir.Günümüzinternetdünyasında
genellikle güvenlikkelimesi çözümodaklıdeğikürünodaklıolarakişlenmektedir.Yurtdışındanalınan
ürünlertümdünyadaki ortalamaITsistemlerine hitapedecekşekildegeliştirildikleri içinöntanımlı
ayarlarlayeteri kadargüvenliksağlamazlar.Bueğitimle kurumlarınsahipolduklarıyada olmayı
planladıklarısibersavunmasistemleri hakkındadetayteknikbilgi ve buürünleri alırken,
konumlandırırkengerçekleştirmeleri gerekentestlerhakkındabilgi edinmeleri sağlanacaktır.
Eğitiminüçana temel amacı bulunmaktadır:Sibersavunmasistemlerininçalışmamantıklarının
anlaşılması,busistemlerinkonumlandırılırkendikkatedilecekhususlarınbelirlenmesi,sibersavunma
sistemlerinintestedilmesive güvenlikve mimarisel zafiyetlerinintespitedilerekistismaredilmesi ve
bunabağlı olarakda daha efektif ve güvenli sibersavunmasistemlerininkurulması.
Eğitimherbir kategoriye aitörneksistemlerüzerindenuygulamalıolarakgerçekletirilecek,kurulum
imkanıolmayansistemleriçinemulatorkullanılacaktır.
Eğitimiçeriğindekullanılantestyöntemleri ve kontrol listeleri NSS,ICSA Labs,Westcoastlabsgibi
endüstri standartıfirmalarınyayınladığıraporlardanfaydalanılarakhazırlanmıştır.
EğitimSeviyesi:İleri
KimlerKatılmalı:Bilişimgüvenliği ürünlerisatan,üretenfirmapersoneli,güvenlikprojelerinde
danışmanolarak çalışanuzmanlar,kurumlardagüvenlikoperasyonuyapanpersonel ve ITdenetim
uzmanları
15. Ön Gereksinimler:TemelTCP/IPve Linux bilgisi,eğitimde anlatılacakkonubağlığıürünlerle dahaönce
çalışmış olmak.
EğitimSüresi:4 Gün
Eğitimİçeriği:
SiberSavunmaAmaçlıKullanılan Sistemlerve İşlevleri
GüvenlikDuvarı(Firewall)
Yeni Nesil GüvenlikDuvarıKavramı
Saldırı Tespitve EngellemeSistemleri(IPS)
WebUygulama GüvenlikDuvarı(WAF)
DoS/DDoSEngellemeSistemleri ve ÇalışmaYöntemleri
Veri Kaçağı EngellemeSistemleri (DLP)
Antivirüs,AntiSpamSistemleri
AntiMalware/APTTespitve Engelleme Sistemleri
BeyazListe Uygulama(ApplicationWhitelisting)
İçerikFiltrelemeSistemleri
NAC(NetworkAccessControl ) Sistemleri
Log Yönetimi ve OlayYönetimi Sistemleri
GüvenlikDuvarıTestve AtlatmaYöntemleri
Güvenlikduvarıtemel işlevleri ve kullanımalanları
Ticari açık kaynakkodlugüvenlikduvarıyazılımları
16. Güvenlikduvarıkeşif çalışmaları
Güvenlikduvarıperformansdeğerlerini anlama
Datasheetdeğerleri nasıl elde edilmektedir?
Klasiktünellemeyöntemleri kullanarakFirewall atlatma
Mac spoofing,IPspoofingkullanarakfirewall kurallarıatlatma
Firewall kurallarınıntestedilmesi(firewallking).
Firewall yönetimarabiriminintestedilmesi
Güvenlikduvarıprojelerinde dikkatedilecekhususlar
Firewall testlerikontrol listesi
Yeni Nesil güvenlikDuvarı
Klasikgüvenlikduvarıve yeni nesilgüvenlikduvarıfarklılıkları
Port bağımsız protokol tanıma(PiPi) özelliğive çalışmamantığı
Sık kullanılanantisansüryazılımları(Ultrasurf,Tor,Jane ) engelleme
Açık kaynakkodluve ticari yeni nesil güvenlikduvarıyazılımları
Yeni nesil güvenlikduvarısistemlerininDNStünelleme kullanılarakatlatılması
Applicationcache kullanarakNGFWsistemlerininatlatılması
Yeni nesil güvenlikduvarıprojelerinde dikkatedilecekhususlar
Saldırı Tespitve EngellemeSistemlerive TestYöntemleri
Saldırı EngellemeSistemleri çeşitleri (Host/Network/Log)
Yeni nesil IDS/IPSkavramıve getirileri
Açık kaynakkodluve ticari IDS/IPSsistemleri
Yerel ağ saldırıları karşısındaIDS konumlandırma
InternetüzerindenIPSkeşif çalışmaları
17. Örneklerlesaldırıtespitkuralıgeliştirme (Snort,Sourcefire)
Webatakları karşısında IDS/IPS’lerinyetersizliği örnekleri
Kodlamave şifreleme (SSL/TLS)kullanarakIDS/IPSatlatma
ParçalanmışpaketlerkullanarakIPSşaşırtma
Tuzak sistemlerkullanarakIDS/IPSşaşırtma
IP sahteciliğikullanarakIDS/IPSatlatmateknikleri
IDS/IPSalırkennelere dikkate edilmeli
Saldırı tespitve engellemesistemleritestleri kontrollistesi
DoS/DDoSEngellemeSistemi ve TestYöntemleri
DoS/DDoSkavramlarıve temel engellemeyöntemleri
BuluttabanlıDDoS engelleme sistemleri ve artıları/eksileri
Cloudflare üzerindehostedilensitelere yönelikgerçekipüzerindensaldırı
Saldırı Tespitve EngellemeSistemlerini DDoSengelleme amaçlıkullanımı
DDoS sistemi keşif çalışmaları
IP sahteciliğikullanarakDDoSsistemi atlatmateknikleri
UDP tabanlı floodsaldırılarıkarşısında ddosengelleme sistemlerininyetersizlikleri
AmplifiedDNSve NTPsaldırılarıile DDoSsistemlerini şaşırtma
DoS/DDoSsistemi alırkenve konumlandırırkenhangi hususlaradikkatetmeli
DDoS testleri kontrol listesi
Antivirüs/HIPS/SEPYazılımlarıve AtlatmaYöntemleri
Antivirüs/HIPSyazılımlarıve çalışmamantığı
Bilinenticari,açıkkaynakkodluantivirüsyazılımları
Antivirüs/HIPSyazılımlarıatlatmaamaçlıkullanılanteknikve yöntemler
18. Crypter,binderkavramları
Metasploitkullanaraktestsenaryolarınınoluşturulması
Tanınmaz AV oluşturmayazılımve siteleri
Online AV testsiteleri
Anti-Malware /APTTespitSistemlerive TestYöntemleri
APT kavramı ve teknikdetayları
Basitaraçlar kullanaraktanınmazzararlıyazılım üretimi
BilinenAPTengellemesistemleri ve çalışmamantıkları
Antimalware ve Anti Spamkeşif çalışmaları
APT/Antimalware projelerindedikkatedilecekhususlar
APT tespitve engelleme sistemleri testleri kontrol listesi
ApplicationWhitelistingSistemleri ve TestYöntemleri
Negatif ve Pozitif güvenlikmodeli farkları
“ApplicationWhitelisting”ürünlerine nedenihtiyaçduyulur
KullanılanApplicationwhitelistingürünleri
Uygulamaseviyesi ve çekirdekseviyesi korumayöntemleri
Uygulamaseviyesi kontrollerinaşılması
İçerikFiltrelemeSistemleri ve AtlatmaYöntemleri
İçerikfiltrelemesistemlerive temel çalışmayapıları
Standartbeyazliste,karaliste mantığıkullanansistemler
Dinamikolarakiçerikfiltrelemeyapansistemleri
İçerikfiltrelemesistemleriatlatmatestve teknikleri
19. İçerikfiltrelemesistemlerini Proxykullanarakatlatma
İçerikfiltrelemeürünseçiminde dikkatedilecekhususlar
İçerikfiltrelemetestleri kontrol listesi
NACÇözümüve Test,AtlatmaYöntemleri
NACkavramı, avantajlarıve sıkıntıları
NACçalışma mantığı ve bağlı olduğubileşenler
NAC,802.1x farklılıkları
Bilinenticari ve açıkkaynakkodluNACyazılımları
MAC adresdeğiştirme yöntemi ileNACatlatma
DHCP kullanılanağlardaNACatlatmateknikleri
Kullanılmayanport(printervs) üzerindenNACatlatmatestleri
Alternatif NACatlatmateknikve yöntemleri
NACprojelerinde dikkatedilecekhususlar
NACtestleri kontrol listesi
WebApplicationFirewallTestve AtlatmaYöntemleri
WAF çalışmayapısı ve normal güvenlikduvarları
WAF ve IPSfarkları
WAF yerleşimyöntemleri
Ticari ve açık kaynakkodluWAF ürünleri
Citrix Netscaler,ModSecurity,F5ASM,Barracuda WAF
WAF kullanarakwebzafiyetlerinintespiti ve engellenmesi
20. XSS,LFI, SQL injectionengelleme
WAF sistemlerine yönelikgüvenliktestleri
WAF tespitve keşif yöntem,araçları
Temel WAFatlatmayöntemleri
HPP(HTTPPArametre Pollution) kullanarakWAFatlatma
DeğişikXSSpayloadlarıkullanarakWAFkurallarınıaşma
SqlmaptamperscriptkullanarakWAFatlatma
Pyronbee kullanarakwaf testleri
WAF alımı ve konumlandırmaaşamalarındadikkatedilecekhususlar
WAF testleri kontrol listesi
Log Yönetimi SistemiTestve İyileştirme Çalışmaları
Log yönetimi ve logtoplamafarkları
Ticari ve açık kaynakkodlulogyönetimi ve logtoplamasistemleri
Log korelasyonuörnekleri
Log yönetimi ve korelasyonsistemlerine şaşırtmayayöneliksahte logüretimi
Snort imzalarıkullanaraksahte saldırılogüretimi
Log yönetimi sistemi alımıve konumlandırmaaşamalarındadikkatedilecekhususlar
Log yönetimi testleri kontrol listesi
DLP-Veri SızmaEngellemeSistemi ve TestYöntemleri
DLP öncesi veri sınıflandırmaçalışmaları
DLP projelerinde dikkatedilmesi gerekenhususlarve kontrol listesi
DLP çeşitleri
21. Host tabanlıve Ağtabanlı DLP sistemleri
Ağ tabanlıDLP sistemlerinineksileri ve atlatmayöntemleri
Host tabanlıDLP sistemlerinineksileri ve atlatmayöntemleri
EncodingkullanarakAğseviyesi DLPsistemlerininatlatılması
Host tabanlıDLP sistemleri
DLP alımı ve konumlandırmaaşamalarındadikkatedilecekhususlar
DLP testleri kontrol listesi
OpenmenuShare
0 0
05/03/14--09:04: Port KnockingYöntemi ilePortlarıGüvenli Açma
Knockdistemci-sunucumantığıile çalışansisteminizde birportaçık olmadığıhalde uzaktan
vereceğinizbelirliportyoklamalarıile istediğinizportuaçabilecekyadasisteme bağlanmadan
istediğinizkomutuçalıştırabilecekbirprogramdır. Knockd’yi kullanabilmekiçinaşağıdalinki verilen
iki yazılımı da indirmelisiniz,sunucuuygulamasınısunucumakinenize istemci uygulamasınıda
sunucuyabağlanmakistediğinizherhangibirmakineye kurabilirsiniz.
Kurulum
Sunucuve istemci tarafı içingerekli paketleri
http://www.zeroflux.org/knock/knock-0.3.tar.gzadresindenindirebilirsiniz.
İstemci tarafınakurulumiçin,
# rpm -ivhknock-0.3-2.i386.rpm
Preparing... ########################################### [100%]
22. 1:knock ########################################### [100%]
Sunucutarafına kurulumiçin,
# rpm-ivhknock-server-0.3-2.i386.rpm
Preparing... ########################################### [100%]
1:knock-server ########################################### [100%]
ÇalışmaMantığı
Karmaşık gözükmesine rağmenoldukçabasitbirmantıklaçalışıyor“knockd”,yaptığı işağ arabirimine
(Ethernet,ppp) gelentümtrafiği dinlemek ve konfigürasyondosyasındabelirtilenuyarlamalara
uygunbir paketgeldigindeyine konfigürasyondosyasındabelirtildiği komutlarıçalıştırmak.
Istemci belli siradaportyoklamasıyapar,istemci portyoklamasını tcp ya da udp portlarda yapabilir.
Ve en önemlisi de yoklama yaptığınız portun açık olup olmamasının önemininolmadığıdır.
Normalde kapalıbirporta göndereceğinizpaketlerdeneğerfiltrelenmemişse RST cevabı döner.
Peki nasıl oluyorda‘knockd’bu işi yapabiliyor?Bunun için biraz TCP/IPbilgilerimizi güncelleyelim.
Bir paketbirhosttandiğerine gönderildiğinde OSIkatmanınınenüstseviyesindenanaltınakadar
yolculukyaparve fizikselortamabırakılır ,karşı tarafa ulaştığındaise OSI katmanınınen alt
katmanından enüst (ApplicationLevel)katmanınakadartersbiryolculukgeçirir,bukatmanlardan
herbirininkendine göre farklıbirgörevi vardır,portkavramının sözününgeçtiği katmanda
4.katmandır.Detaylıgösterimiçin aşağıdaki resme bakabilirisiniz.İşte knockdpaketi daha
4.katmana ulaşmadandata Link layer(2)da yakalıyor, okuyor ve içeriğinegore işlemi
gerçekleştiriyor,nasıl iyi fikirdeğil mi?
23. SunucuKullanımı
Sunucukullanımdakullanabileceğimizseçenekler
-i ile hangi arabirimin dinleneceğini belirliyoruz,herhangi bir değer belirtmezsekvarsayılanolarak
ilkEthernetkartını(Linux’lariçineth0)dinlemeye alacaktır.
-d knockdninbirservisolarakhizmetvermesinibelirliyoruz.
-c <dosya_ismi>opsiyonuilede kullanılacakyapılandırmadosyasınıbelirliyoruzvarsayılanolarakbu
değer/etc/knockd.conf tur,
-D parametresi ile de sunucuprogramınındebugmoddaçalışmasınısağlıyoruz
-V ile calışanprogramın versiyonunuöğrenebiliriz.
-h parametresi kullanılabilecekparametreleri göstermeye yarar.Datadetaylıkullanımiçinman
knockdkomutunukullanabilirsiniz.
İstemci Kullanımı
Istemci kullanımınınseçeneklerineulaşmakiçin
# knock
komutunuvermenizyeterlidir,buseçeneklerinne işe yaradığıaşağıda belirtilmiştir.
usage:knock[options] <host><port> [port] ...options:
-u, --udp UDP paketi yollamakiçin,varsayılandeğerTCPdir.
-v, --verbose Detaylıbilgi için
-V, --version Versiyonöğrenmekiçin.
24. -h, --help Bu menuiçin.
Yapılandırma Dosyası
Programlabirlikte gelenvarsayılanyapılandırmadosyasının/etc/knockd.conf olduğundan
bahsetmiştik,şimdide budosyanıniçeriğinebakarakyorumlayalımsonradaçeşitli örneklerle nasıl
kullanılacağınıanlamayaçalışalım.
# cat /etc/knockd.conf
[options] UseSyslog
[opencloseSSH]
sequence = 2222:udp,3333:tcp,4444:udp
seq_timeout = 15
tcpflags = syn,ack
start_command= /sbin/iptables -A INPUT-s%IP% -ptcp --dportssh -j
ACCEPT
cmd_timeout = 10
stop_command = /sbin/iptables -DINPUT-s%IP% -ptcp --dportssh -j
ACCEPT
Bu basit öntanımlı yapılandırma dosyası ile knockd’nin loglama mekanizmasıolaraksistemin
kendi logmekanizmasınıkullanmasınısöylüyoruz,Eğersystemlogmekanizmasındafarklıbiryere
loglanmasınıistersekbunulogfile =/var/log/knockd.logizinlerini knockdyi çalıştırankullanıcıolarak
ayarlamanızlazım , farklıbir durumgözetmezseniz root kullanıcısıile çalıştığından dosya erişim
izinleri de ona göre ayarlanmışolur.
alt tarafta [opencloseSSH] ile yeni bir kural için tanımlayıcı isim belirleyipseçeneklerini
yazıyoruz.
Sequence ile istemcininportyoklamasırasınıbelirtiyoruz,
25. seq_timeout
bu değişkenleistemcininportyoklamaişlemini yaparkeniki yoklamaarasındamax ne kadar sure
bekleyebileceğinibildiriyoruz.
start_command
Uygun portyoklamasıoluştuktansonrabaşlatılacakkomut
cmd_timeout
komutsonrası ne kadarlıkbir sure bekleneceği
stop_command
cmd_timeoutsonrasıişletilecekkomut
Aşağıdaki örnekte yapılandırmadosyasındaki seçeneklerindeğerleri ve ne işe yaradıklarıkonusunda
genişbilgilendirme bulabilirsiniz.
Örnek;
Sistemin100,200 ve 300.portlarına sırası ile SYN paketi gönderilmesihalinde
/tmpdizininde deneme-123adında birdosyaoluşturmasınıisteyelim.
Bununiçin/etc/knockd.conf dosyasınıherhangi bireditörle açıpdosyanınsonuna
[dosyaac]
sequence =100,200,300 protocol = tcp
timeout= 15
command= mkdir/tmp/deneme-123tcpflags= SYN
satırlarını ekleyelim.[dosyaac] satırı ile açıklama belirtiyoruz,bubaşlıkloglardagörünecekolan
başlıktır.
sequence =100,200,300
ile hangi sıra ile portlarınyoklanacağınıbelirtiyoruz
26. protocol = tcp
protocol tipini belirliyoruz
timeout= 15
zaman aşımını ne kadarolacağını belirliyoruz.
command= mkdir/tmp/deneme-123
yoklamalarsonrasıhangi komutunçalıştırılacağını belirliyoruz
tcpflags= SYN
protocol olarakTCP belirlediktensonrahangi TCPbayrağı ile yoklamayapılacağınınbelirtilmesi
bunları yazdıktan sonra dosyayı kaydedip çıkalım ve istemci tarafındaki knockprogramcığını
aşağıdaki gibi çalıştıralım.
[root@cc root]#knock yubam -v100 200 300
hittingtcp194.27.72.88:100 hittingtcp194.27.72.88:200 hittingtcp194.27.72.88:300
tekrar/tmp dizininebakalım.
[root@yubamtmp]#ls
deneme-123 mc-root
gconfd-root orbit-root
GSLhtmlbrowser5493 sess_33c22dbdd8f5fbf788f8ccf9ecbb519a
kde-root sess_4d0f6ce5ca90d758cc126ad992219b85
ksocket-root splint-3.1.1
mapping-root splint-3.1.1.Linux.tgzmcop-root
Örnek;
27. [options]
logfile =/var/log/knockd.log
[opentelnet]
sequence=7000,8000,9000
seq_timeout=10
tcpflags=syn
command= /usr/sbin/iptables -A INPUT-s%IP% -ptcp -- dport 23 -j ACCEPT
[closetelnet]
sequence=9000,8000,7000
seq_timeout=10
tcpflags=syn
command= /usr/sbin/iptables -DINPUT-s%IP% -ptcp -- dport23 -j ACCEPT
bu örnekte yukarıdaki örnektenfarklıolarakiki farklıseçenekkullandıkbiri [opentelnet] diğeri
[closetelnet],[opentelnet] ile7000,8000,9000 portlarına sırası ile gelecek SYN paketleri karşılığında
sisteminne yapacağını, [closetelnet] ilede 9000,8000,7000 portlarınasırası ile gelecekSYN paketi ile
sisteminne yapacağınıbelirttik,aşikarki [opentelnet] ilesisteme belirli aralıklardasynpaketi yollayan
IP ye Firewall dan23.portiçingeçişhakkı tanıdık aynı şekilde [closetelnet]ile de tamtersi bir işlem
yaparak o IP ye 23.portu kapadık.Yan. bir önceki örneğe göre işimizi zamanabırakmadık,
işimizinbittiğini ve sunucununtelnetportunukapatmasınıellesağlamışolduk.
SunucuYazılımın Çalışma Modları
Sunucuyudebugve verbose moddaçalıştıralımve aralarındaki farklılıklarıgörelim.
Şimdide istemci tarafındaknockprogramınıçalıştırıp sunucutarafındaki değişiklikleri inceleyelim,
çalışma parametrelerininne işe yaradığıyukarıdaanlatılmıştı.
SunucununDebugModdaÇalıştırılması
30. root 15345 0.0 0.0 1640 460 ? S 23:27 0:00 knockd -i eth0-d root 15373 0.0 0.1 5132 584
pts/7 S23:34 0:00 grepknockd
# kill 15345
OpenmenuShare
0 0
05/03/14--09:11: BGA Profesyonel HizmetleriçinBilgi GüvenliğiUzmanıİlanı
BGA olarakgerçekleştirdiğimizbilgigüvenliği danışmanlıkhizmetleri içinsevdiği işi yapacak,yaptığıişi
sevecek,genç,heyecanlıve çalışkantakım arkadaşlarıarıyoruz.
2 farklıkonuda3 takım arkadaşı(Ankara/İstanbul) alınacaktır:
BGA SIR(SecurityIncidentResponse) Ekibi içinbirkişi
BGA TIGER TEAM(Sızma Testi/APT) Ekibiiçiniki kişi
Temel Beklentiler:
Ankara'daveyaİstanbul'daikameteden(birkişi Ankara,iki kişi İstanbul)
İstanbul arası git-gel yapabilecekaradabirBakü,KKTC vs gibi lokasyonlarauğramaktanimtina
etmeyecek,
Standartdışı düşünebilen,kalıplaratakılmayan,
Teknikkonulardaçalışmayıseven,heyecanduyan,
Herşeyi bilmediğini düşünerekbol bol araştırmayapan,bir bilene soran,
Çok çalışandeğil,azzamandaçok iş yapabilen,
İş bitirici,görevbilincine sahipolan,
Araştırıp öğrendiği konularıyazıyadökebilen
31. Tam zamanlı çalışmaarkadaşları arıyoruz.(Yarı zamanlıbaşvurularbuilankapsamında
değerlendirilmeyecektir.)
Sızma Testi Uzmanı
Sızma testi konusundaTürkiye'ninendinamikfirmalarındanbirinde klasiksüreçve prosedürlere
takılmadanzevkli işlergerçekleştirmekisteyenlere güzel fırsat.Amatör/profesyonel olaraksızma
testleri ile ilgilenmiş,bukonudabitmekbilmeyenaraştırmahevesine sahipherkesbaşvuruyapabilir.
Sızma testi konusundabaşvuruyapacakarkadaşlariçinorta/ileri seviye Linux bilgisi aranmaktadırve
kullandıklarıaraçlarkonusundaezberdenöte çalışmamantıklarınıanlayacakkadar konuyahakim
olmalarıbeklenmektedir.
IncidentResponse/ComputerForensicSpecialist
BGA olarakmüdahele ettiğimizbilişimgüvenliği ihlal olaylarındasüreci yönetebilecekkadarderin
teknikbilgi ve tecrübeye sahip, analitikdüşünce yapısınasahiptakımarkadaşı aranmaktadır.
Daha önce ilgili konularda(forensic,IR,IH) çalışmış olma şartı aranmaktadır.
Başvuru:
Yukarda yazılı konularlailgili olduğunuzudüşünüyorsanızbilgi@bga.com.tradresineCV'nizi
iletebilirsiniz.
E-postagönderirkenkonubaşlığının:REF-BGA-05-14olmasınave hangi konu(pentest,sir)için
başvurudabulunduğunuzunmailingövdesindeyeralmasınadikkatediniz.
Benprofesyonelim,standartişilanıolmadanbaşvurmamdiyenleriçinekşartlaraşağıdayer
almaktadır:
İşinTanımı :
Lisanseğitiminiilgilibölümlerde tamamlamış,
Takım çalışmasına yatkın,
Dinamikbiryapıda,işini severekyoğunbirtempodaçalışabilecek,
32. Araştırmacı, sürekli öğrenmeye ve kendini geliştirmeyeaçık,
Analitikdüşünmeve problemçözme yeteneklerine sahip,
İstanbul'daikametedenveyaedebilecek,gereklidurumlardaAnkara'daçalışabilecek
Erkekadaylariçintercihenaskerlikle ilişiğiolmayanveyaenaz1 yıl tecilli,
Teknikaraştırma yapabilecekkadaringilizce bilen,
NOT:Builan29 Mayıs 2014 tarihine kadargeçerlidir.Haziranayınınilkhaftasıbaşvurular
değerlendirilerekolumlu/olumsuzcevapdönülecektir.
OpenmenuShare
0 0
05/11/14--03:59: WebUygulamalarındaHatalı OturumYönetimi ve OturumSabitleme Zafiyeti
Cookie/session,webuygulamalarındasunucutarafının,kendisiniziyaretedenkullanıcılarıayırt
etmek,yetkilendirmek,mevcutoturumunubelli birsure tutma,çeşitli bilgileritaşımaveya
oturumunuyönetmekgibisebeplerile geliştirme aşamasındaihtiyaçduyulanwebuygulama
bileşenleridir.Cookie ve sessionbenzeramaçlariçinkullanılanfakattemel bazıfarklılıklarıolanweb
uygulamaifadeleridir.Güvenlikaçısındangenelde tercihedilensessionkullanımıdır.
Cookie bilgisi clienttarafındatutulduğuiçinüzerindehassasveriler(kullanıcıadı,parola,kredi kart
numarası vs.) veyamanipule edilmesi mümkündeğerlertaşınmamasınadikkatedilmelidir.Session
kullanımındahassasverilerintutulmasıveyabazıkontrollerinyapılmasısunucutarafında
yapılmaktadır.
SessionkullanıldığıdurumlardaclienttarafınamevcutoturumakarşılıkgelenşifrelibirSessionID
değeri gönderilmektedir.Budurumdasessionkullanımıherne kadargüvenli olsadaClienttarafına
gönderilenSessionIDdeğerininsaldırganlartarafındanele geçirilmesiile kullanıcılaraaitoturumlar
elde edilebilmektedir.AyrıcaSessionkullanımındaüretilenSessionIDdeğerininyeterliuzunluktave
karmaşık karakterlerdenoluşmasınadikkatedilmelidir.Aksi haldemevcutsessionIDpolitikasına
uyumludeğerlerüretilerekoanaktif birkullanıcı oturumuelde edilebilir.Sessionkullanıldığı
durumlardakullanıcıyagönderilenSessionIDdeğerleride Cookie HTTPbaşlıkbilgisi içerisinde
tutularakclient-serverarasındataşınır.
Sunucutarafına istekyapanherkullanıcıiçindönenhttpresponse içerisinde Set-Cookie başlıkbilgisi
ile bircookie değeri clienttarafınagönderilirve clientbrowserindabubilgi tutulur.Dahasonra
33. sunucutarafına yapılanrequestlerdebusetedilenCookiedeğeri ile gidilir.Uygulamasunucusutarafı
da bu cookie değerinegore ilgili kullanıcıyamuamele edecektir.Cookie değeriningeçerliliksüreside
yine atanancookie içerisinde belirtilmektedir.
Aşağıda clienttarafınınsunucutarafındancookie bilgisini almasınaaitekrangörüntüsüverilmiştir.
MACBOOKPRO:Users:celalerdik:Desktop:ScreenShot2014-04-22 at 11.24.04.png
Kullanıcılarhedef uygulamlarüzerinde kimlikdoğrulamagerçekleştirdiktensonrakendilerine atanan
bu Cookie/SessionIDdeğerini kullanarakuygulamayatekrartekrarkimlikdoğrulamagerektirmeksizin
bağlanabilir.Durumböyleoluncakimlikdoğrulamagerektirmedensistemlerdeoturumsahibi olmak
isteyensaldırganlarçeşitli yöntemlerile budeğerleri ele geçirmeyoluna gidebilmektedir.
Cookie/SessionIDbilgisi hedef alınarakçeşitli saldırılargerçekleştirilmektedir.Sessionhijacking,
sessionfixation,cookie theft,exposedsessiondata,cookie attribute manipulate,sessionid-token
randomlessaçıklığıgibi birçok açıklık istismaredilerekkullanıcıadınaişlemlergerçekleştirebilir.
Cookie/SessionIDbilgisi herne kadarsunucutarafındaüretiliyorolsadaclienttarafındabrowserda
tutulmaktadır.Budaclienttarafındakullanıcılarabirscriptçalıştırılarak elde edilebileceğini
göstermektedir.BuaşamadaXSSaçıklığı sıklıklakullanılanbiryöntemdir.
Yine bazı durumlardasaldırganlarınhiçbir teknikaçıklıkistismaretmedendoğrudanuygulama
geliştiricilerinkullandığıve kimlikdoğrulamaolmayanelmah.axdve trace.axdgibihataloglama
modüllerine erişimsağlayarakilgili uygulamalardaadminkullanıcılarınınsessionIDdeğerlerini
kullanarakoturumlarınıele geçirebilmektedir.
Trace.axdloglamamodülüüzerindenelde edilenSessionIDdeğeri:
MACBOOKPRO:Users:celalerdik:Desktop:ScreenShot2014-04-23 at 12.57.52.png
Elmah.axdloglamamodülüüzerindenelde edilenSessionIDdeğeri:
MACBOOKPRO:Users:celalerdik:Desktop:ScreenShot2014-04-23 at 13.00.00.png
34. Bu değerlerindoğrudancookie managerbenzeri uygulamalarile browserüzerinde mevcutdeğerleri
ile değiştirilmesi durumundabukullanıcılaraaitoturumlarele geçirilmişolunacaktır.Buşekilde
doğrudanadminpanellerveyakullanıcıoturumlarıelde edilebilir.
Bu yazımızda özellikledeğinmekistediğimizaçıklık sessionfixationaçıklığıdır.Clienttarafınakimlik
doğrulamayapılmadığındagönderilenSessionIDbilgisi ,kimlikdoğrulamayapıktansonra
değiştirilmiyorsasadece buSessionIDdeğerine yetkilendirmeyapılıyorsabudurumdasessionfixation
açıklığı sözkonusuolmaktadır.Basitbirkaçsosyal mühendislikmethoduile ilgili açıklıkistismar
edilebilmektedir.
Saldırganlaröncelikleoturumunuçalmakistediklerikullanıcılaraçeşitli sosyal mühendislikyöntemleri
kullanarakkendi belirledikleri birSessionIDdeğeri ile uygulamayıziyaretetmelerini sağlarlar.Daha
sonra kurbanınbu uygulamaüzerindekimlikdoğrulamaişlemini gerçekleştirmesi durumunda bu
sessionIDdeğerinisaldırganbildigi içinkendi browserdindailgili hedef uygulamaiçinsetederek
kurbanın oturumunuele geçirebilir.Saldırganınkendi browserindazatenbusessionIDdeğeri tanımlı
olduğundanuygulamayıçağırdığında kurbanınoturumuile uygulamaüzerindeerişimelde edecektir.
Aşağıdaki ekrangörüntüsünde sessionfixationaçıklığınınnasıl gerçekleştiği dahakolaylıkla
anlaşılabilir.
MACBOOKPRO:Users:celalerdik:Desktop:session_fixation.png
Kullanıcıwebsunucuyabirbağlantı gerçekleştirmektedir
Sunucutarafı kendisine yapılanistekkarşısındabirsession_iddeğeri ile saldırgana cevap
dönmektedir.
35. Saldırgan, aldığı session_iddeğerini kullanarakkurbanınsunucuyaloginolmasınısağlamaktadır.Bu
durumçeşitli sosyal mühendislikyöntemleri kullanılarakkurbanınaşağıdaki gibi birbağlantıyıziyaret
etmesi ile gerçekleştirilmektedir.
Kurban http://www.bank.com/login.php?session_id=xyzbağlantısınıziyaretetmektedir.
Kurbanbu bağlantıyı ziyaretederekhedef webuygulamasınakimlikbilgileriile girişyaptığıanda
mevzutxyzdeğerine sahipsession_idartıkbu kullanıcınınınoturumunuifade edendeğerolacaktır.
Saldırgan kendi browserdinahttp://www.bank.com/sayfasınıçağırdığındaartık kurbanın
oturumunaerişimişolacaktır.
İlgili açıklığamaruzkalmamakiçincookie/sessionbileşenleri dikkatli kullanılmalı.Kullanıcılarhangi
sessionIDile uygulamayagelirsegelsinkimlikdoğrulamagerçekleştirildiktensonraSessionIDdeğeri
uniqbaşkabir değerile yenilenmelidir.
OpenmenuShare
0 0
05/11/14--04:02: Linux SistemlerdeAuditdKullanarakDetaylıSistemDenetimi
Sistemyöneticilerininençoksorduğusorulardanbiri,dosyalarüzerinde okumayazmagibi
denetimlerinnasıl kontrol edilebileceği,kritiköneme sahipdosyalarıkimindeğiştirdiği,üzerinde
kimlerinişlemyaptığınınbilinmesi ve takipedilmesidir.
Bununcevabı ModernLinux sistemlerlebirliktegelen“auditddaemon”ile çözüme
kavuşmuştur.Görevi diskedenetimkurallarınıyazmaktır.Başlangıçesnasında/etc/audit.rules
içerisinde bulunankurallar‘auditddaemon’tarafınanokunur./etc/auditd.rulesdosyasını açıp
üzerindekidenetimkurallarınıdeğiştirmek,logkayıtlarınıyönetmekgibi değişiklikler
yapılabilir.Kurulumyapıldıktansonravarsayılanolarakgelenayarlarbaşlangıçiçinyeterli olacaktır.
Denetimi kolaylaştırmakamacıylaservise aitaşağıdaki hizmetlerinbilinmesindefaydaolacaktır.
>> auditctl : Çekirdeğindenetimsisteminikontrol etmekiçinyardımcıolacakbirkomuttur.Bukomut
ile kural eklenipsilinebilir yada durumbilgisi alınabilir.
>> ausearch: Olaytabanlıya da farklı arama kriterlerine göre logtabanlısorgulamayapmakiçin
kullanılabilir.
>> aureport: Denetimloglarınınraporlarınıözetlemekiçinkullanılanbiraraçtır.
48. Selection_001.png
Bu bölümündeobfuscationişlemini yapanbölümolduğuvarsayımıyapılabilir.
Daha sonra sayfanınsol tarafındaki “Execute eval() statements”seçeneği işaretlenipJSDetox’uneval
fonksiyonlarınıçalıştırmasısağlanıp “Execute”tuşunabasılır.Bu sayede kodun çalışmaanında yaptığı
gibi kendini deobfuscate etmesi sağlanır.Execute sekmesinegelindiğindebirçokkez“eval”
fonksiyonununçağırıldığıgörülür.Genelde açmaişlemitamamlandıktansonraesasişlevleri
gerçekleştirecekolankodensondaki “eval”fonksiyonununparametresi olarakbulunabilir.Bu
bölümüanalizetmekiçinde listedenson“eval()call executed”uyarısının“Show Code”tuşuna
tıklanıp“Sendto Analyze”denilir.Busayede ilgilikodanalizekranındagörülür.
Selection_004.png
“Reformat”butonunabasılarakkoddaha okunaklıhale getirilir.Örnektebuişlemhataile
sonuçlanacaktır,birsebeptenJSDetox bukoduparse edememektedir.Budurumdamevcutdiğer
araçlarla devametmekenpratikseçenekolacaktır.
Son olarakkısmendeobfuscate edilmişedilmişkodbirdosyayakaydedilir(tmp.js)ve JS-beautify
uygulamasıile tamokunaklıhale getirilir.Bununiçinterminalden
js-beautifytmp.js>deobfuscated.js
komutugirilir.
Artık deobfuscated.jsdosyasıbirmetindüzenleyici ile açılarakiçeriği rahatlıklaanalizedilebilir.Bu
analizdenistismaredilmeye çalışılanzafiyetler,kullanılanshellcode,sisteme yüklenmekistenen
zararlı ve benzeri detaylareldeedilebilir.
Selection_005.png
OpenmenuShare
0 0
05/30/14--10:11: Yerel AğdaIP-MACAdreslerininBulunması- Netdiscover
49. Yerel ağlarınoluşturulmasındaençokkullanılanağarayüzüEthernet'tir.Ethernetarayüzleri
birbirlerine veri paketi göndermeleri için,kendilerine üretimsırasındaverilenfiziksel adresleri
kullanırlar;48 bit olanbuarayüzlerinilk24 biti üreticiyi belirtirve 48 bitlikblokeşsizdir. TCP/IP
protokolününkullanıldığıağlarda32 bitolan IPadresi kullanılır.Fiziksel katmandaEthernetarayüzü
kullanılıyorsa,IPadrestenfizikseladrese dönüşümişininyapılması gerekir.Bununiçinsistemlerde
AdresÇözümlemeProtokolüolanARP( AddressResolutionProtocol ) ve ARPtablolarıkullanılır.
NetdiscoverAracıile Yerel AğdaIP-MAC AdreslerininBulunması
Netdiscoveraracı yerel ağdarouterveyaswitchgibi davranan basitbiraraçtır. Yerel ağda gönderdiği
ARPpaketleri ile MACadreslerinekarşılıkgelenIPadreslerini bulmayaçalışır.Buaraç sayesinde yerel
ağda MITM veyabaşka biratak gerçekleştirmedenönce hedef sistemlerinIPadresleri kolaycaelde
edilebilir.
Netdiscoveraracını kullanmadanönce Wiresharkilenormal biryerel ağtrafiği incelendiğinde
aşağıdaki gibi birdurum görünmektedir.
Burada normal birinternettrafiğine aitpaketlerve ilgiliprotokolleraçıkçagörülebilir.Bizdahaçok
yerel ağdaki durumlailgilendiğimiziçinburadaprotokol filtrelemesiyaparaksadece ARPpaketlerini
aşağıdaki gibi görebiliriz.
Burada basitbirARP trafiği görünmektedirve iletişime geçenIP-MACadreseşlemeleri kolayca
bulunabilir.Dahayoğunbirtrafiğinolduğuortamlarda ise wiresharkile trafikanaliziyapmakçok
zahmetli ve vakitalıcıolacaktır. Bununiçinyerel ağdaki herkesinIPve MACadresini öğrenmekiçin
Netdiscoveraracını kullanmanızsize zamankazandıracaktırve daha anlaşılırsonuçlarüretecektir.
Kali Linux işletimsisteminde Netdiscoveraracını çalıştırmakiçinKali Linux Menu–> Information
Gathering–> Live HostIdentification –>Netdiscovermenüleritakipedilerekaraççalıştırılabilir.
50. Yada kısaca terminal üzerindennetdiscoveryazarakda aracı çalıştırabilirsiniz.Araççokkarmaşıkbir
yapıya sahipdeğildir.Helpmenüsündenparametrelerine bakabilirve kolaylıklakullanabilirsiniz.
Aracı temel olarakkullanmakiçin -rparametresi iletaranmakistenenaltağı, -i parametresi ile de
dinlenecekolanağarayüzünüvermenizyeterlidir.
Aşağıdaki örnekte 192.168.0.0/24 altağına aitbir tarama yapılmıştır.Yapılan tarama sonucundaise
yerel ağdaki açık makinelerlistelenmiştir.Çalıştırılankomut;
#netdiscover-i eth0-r192.168.0.0/24
Referanslar:
http://ultimatepeter.com/using-netdiscover-arp-to-find-lan-ip-and-mac-addresses/
OpenmenuShare
0 0
06/01/14--11:52: UygulamalıAğGüvenliği ve TCP/IPEğitimi LabKitabı[yeni]
Bilgi GüvenliğiAKADEMİSİolarakverdiğimizeğitimlerde uygulamayaözel önemveriyoruz.Güvenlik
gibi karmaşıkbir konudetaylıuygulamalargerçekleştirmedenanlatıldığındakonuyayabancıolan
katılımcılar tarafındantam olarak anlaşılamamaktadır.Eğitimnotlarınadestekolmakamacıyla
başlattığımız labçalışmalarını içerenkitapçıkçalışmalarınıuzunsüre önce başlamıştık.
51. Bu konudailkkitapçalışmamızolan BeyazŞapkalıHacker eğitimi Labkitapçığını2013 yılı başlarında
öğrencilerimizinkullanımınasunmuştuk(Detaylarınahttp://blog.bga.com.tr/2013/01/beyaz-sapkal-
hacker-egitimi-lab-kitapcg.html adresindenerişilebilir)
Yeni dönemeğitimlerinde UygulamalıAğGüvenliği LabKitabıÇalışması,İleri Seviye AğGüvenliği
Eğitimi LabKitabı,SertifikalıAğGüvenliği Eğitimi LabKitabı,Malware Analizi Eğitimi Lab Kitabı,
NetworkPentestEğitimi LabKitabı,DDoSEğitimi LabKitabı hazırlıklarımızhızlı bir şekildedevam
etmektedir.Bunlararasındaiçeriğini tamamladığımızUygulamalıAğGüvenliği Eğitimi LabKitabınıbir
ay içerisindekatılımcılarımızlapaylaşıyorolacağız.
BGA ekibindenCihatIŞIKve HuzeyfeÖNALtarafındanhazırlanan~350 sayfalıkaşağıdaki içeriğe sahip
UygulamalıAğ Güvenliği ve TCP/IPEğitimi LabKitabı'nı ücretsizedinmekiçindahaönce BGA
tarafındanaçılmış UygulamalıAğGüvenliği eğitiminekatılmışolmanızyeterlidir.
Kitapçığı edinmekiçinegitim@bga.com.tradresinekitabıistediğinize dairbire-postagöndererekBGA
İstanbul ve Ankaraofislerinden5Temmuz2014 itibariyle teslimalabilirsiniz.Kargoile gönderim
yapılmamaktadır.
UygulamalıAğ Güvenliği Eğitimi Lab.KitabıKonuBaşlıkları
İşletimSistemlerindeDinamikve StatikARPKayıtları
Yerel AğlardaSahte ARPPaketleri ÜreterekDoSGerçekleştirme
MAC FloodSaldırısı GerçekleştirerekSwitchCAMTablosuDoldurma
Cain&Abel KullanarakARPCache PoisoningSaldırısı
Snort,Arpwatchve Xarp kullanarakarpspoof ve MITM saldırılarını engelleme
IP SpoofingÖrnekleri
Sahte IPv4 TCP Paketi Üretimi
Sahte UDP Paketi Üretimi
IP AdresininSahibininBulunması
ParçalanmışIP Paketleri Kullanarak PortTarama
52. ParçalanmışIP Paketleri KullanarakIDSAtlatma
ParçalanmışIP Paketleri KullanarakL7Firewall Atlatma
TCP ve UDP Paketleri KullanarakTraceroute Çalışması
IP SaklamaAmaçlıTOR ve ProxyKullanımı
İsteğe Göre ICMP Paketi Üretimi
ICMP Tunelling(ICMPÜzerindenTCP/HTTPPaketleri Geçirme)
ICMP Smurf Denial of Service SaldırısıGerçekleştirme
ICMP Redirectile L3Seviyesinde ArayaGirme Saldırısı
ICMP ÜzerindenUzaktanTelnet/SSHBenzeri SistemYönetimi
ICMP FloodDDoSSaldırısı Gerçekleştirme
TCP ÜzerindenDoS/DDoSSaldırılarıGerçekleştirme
Gerçek/sahte IPAdresleri KullanarakSYN FloodSaldırısıGerçekleştirme
Gerçek/sahte IPAdresleri KullanarakFIN FloodSaldırısıGerçekleştirme
TCP ConnectionFloodSaldırısıGerçekleştirme
TCP ProtokolüKullanarakPortTaramaYöntemve Araçları
UDP ProtokolüKullanarakPortTaramaÇeşitleri
İsteğe Göre TCP BayraklıPaketÜretimi
TCP ve UDP arasındaki temel farkıngösterilmesi (Netcatkullanarak)
SYNCookie ve SYNProxyKullanarakSYN floodsaldırılarınıEngelleme
SYNProxyKullanılanSistemlere YönelikPortTarama
TCP ProtokolündeIPSpoofingKontrolü
Sahte DHCP SunucuKullanarakMITMSaldırısı
DHCP FloodDoSSaldırısı
DNS SorgulamalarıiçinDigKullanımı
DNS ÜzerindenTrace Çalışmaları
512 Byte Üzeri DNS PaketlerininTCP’e Çevrilmesi
DNS SunucuVersiyonBelirleme
53. DNS Zone Transferi ile AltDomainAdreslerininBulunması
DNS AltDomainAdresleriniBrute Force DenemeleriyleBulma
DNS Tunneling- DNSProtokolüÜzerindenTCP/HTTPPaketleriTünelleme
MetasploitKullanarakDNSCache PoisoningSaldırısı
DNS Cache Snooping
Sahte AlanAdlarıKullanarakDNSFloodDDoSSaldırısı
AmplifiedDNSDDoSSaldırısı
PratikTcpdumpSnifferKullanımı
Tshark Kullanarakİleri SeviyePaketAnalizi
Paket/ProtokolAnalizi AmaçlıWiresharkKullanımı
WiresharkÖrnekPaketAnalizleri
Ağ TrafiğindenVeriAyıklama(NetworkForensics-1)
Ağ Trafiği İçerisindeKelimeYakalama
NgrepKullanarakAğTrafiğinde TünellemeYazılımlarınıBelirleme
SSL Trafiğinde PaketAnalizi
Şifreli Protokollerde ArayaGirme
SertifikaOtoritesi Oluşturma
Herkese AçıkOrtamlardaPaylaşımAmaçlıPaketAnonimleştirme
Nmap,Unicornscanve Hping ile PerformansTestleri
PaketAnalizi,Protokol Analizi Kavramları
Yerel AğdaKullanılanProtokol OranlarınıBelirleme
WebSunuculara YönelikPerformans(Gecikme) Ölçümü
Yerel AğlardaKullanılmayanIPAdreslerininTespiti
ArpingKullanarakL2 Seviyesinde Paketİşlemleri
DNS ProtokolundeSorunGiderme
MiTM Saldırılarını ÇiftYönlüEngelleme
TcpdumpAracınının Saldırı TespitAmaçlıKullanımı
54. WebSunucularaYönelikDdoSSaldırılarıve TCP OturumDetayları
Yerel AglardaSniffer TespitÇalışmaları
KaydedilmişTrafiğinTekrarOynatılması–Tcpreplay
Websunucularayönelikperformans/DoStestleri
Medusa– Ağ Servislerine Yönelik KabaKuvvetParolaTestAracı
BirdenFazlaAlanAdı IçinTekSertifikaKullanımı
NTP Servisi KullanarakGerçekleştirilenAmplificationDDoSSaldırıları
Sızma TestlerindeICMPÜzerindenShell Alma
Snort KullanarakZararlıYazılım Tespiti
Zararlı Yazılım TrafiğininSahte Servislerle Yönetimi
Ağ TabanlıSaldırılara Karşı Aktif Defans
Zarp KullanarakTCP/IPProtokol Zafiyetlerininİstismarı
Port TaramalarındaAğ Tabanlı AtakÖnleme Sistemlerini Şaşırtma
DoS/DDoSTestlerindeDikkatEdilmesiGerekenHususlar
DDoS Forensics:DDoSSaldırılarındaSahte IPKullanımıBelirleme
NpingKullanarakTCPConnectionFloodDoS/DDoSTestleri
IntrusionPreventionSystemStateful Signature InspectionTestleri
HpingKullanarakURPFKorumalıAğlardaIP Spoofing
GünümüzInternetDünyasındaIPSpoofing
DDOS EngellemedeDFASYöntemi
SSH Tünel ÜzerindenPortTarama
TekPort ÜzerindenHTTPS,SSH,OpenVPN ServislerininHizmetVermesi
OpenmenuShare
0 0
06/08/14--11:25: WebUygulamaGüvenlikTestleri Eğitimi/20-22 Haziran2014
EğitimAçıklaması
55. WebApplicationPentest(WebUygulamalarıGüvenlikDenetimi Eğitimi) günümüzbilişimgüvenliğinin
enzayıf halkalarındanolanwebuygulamalarınıngüvenliğininhackerbakışaçısıyla testedilmesini
amaçlayanuygulamalıeğitimdir.Eğitimboyuncakatılımcılarfarklıplatformve programlamadilleri
kullanılarakgeliştirilmişçeşitliyazılımlardakigüvenlikzafiyetlerininnasıl bulunacağınıve istismar
edileceği konusundapratikyapmafırsatıbulacaktır.
Eğitimtamamenuygulamalıbirşekilde işlenmektedirve eğitimsüresince katılımcılaraaçıkkaynak
kodluve ticari çeşitli webgüvenliktestaraçlarınıkullanmaimkanısunulmaktadır.
EğitimTarihleri
20-22 Haziran2014
EğitimÜcreti & Kayıt
Eğitimücreti ve kayıt içinegitim@bga.com.tradresine"2014-WPT-2Egitimi Ucret Bilgisi/Kayit"
konulue-postagönderiniz.
KimlerKatılmalı
Bu eğitim,ITgüvenlikgörevlileri,denetçiler,güvenlikuzmanları,site yöneticileri ve ağaltyapı
bütünlüğükonusundaçalışmalaryapanherkesiçinönemli ölçüde yararsağlayacaktır.
Ön Gereksinimler
Temel HTML Bilgisi
EğitimSüresi
3 Gün
Sertifika
Eğitime katılanlara,BGA tarafındankatılım sertifikasıverilecektir.
Eğitimİçeriği
Bilgi Güvenliğinde SızmaTestleri ve Önemi
Sızma testi çeşitleri
WebUygulamalarınayönelik sızmatestleri
Uygulamagüvenliği farkları
Uygulamagüvenliği testaraçları
Burp,OwaspZap, Webscarab...
WebGüvenlikTestlerinde kullanılanFirefox eklentileri
Otomatize GüvenlikTaramaAraçları
56. WebGüvenliktestleri içinlab.ortamları
OWASPBWPA,DVWA
KlasikBirNetworkPentestSenaryosu
Temel Nmap,Nessus,MetasploitKullanımı
Port Tarama Çeşitleri ve zafiyettarama
Networkpentest,Webpentestkesişimnoktaları
Jboss,Apache Tomcatgibi uygulamalarınzafiyetleri
JBOSSJMX-Console yetkilendirme atlatmazafiyeti istismarı
Tomcat kullanılansistemleri elegeçirme
WebUygulama GüvenlikTestlerindeWAF/IPSAtlatmaTeknikleri
Uygulamagüvenlikzafiyetleri karşısındaWAFve IPS
Webuygulamatestlerinde encodingyöntemlerive kullanımalanları
Encodingteknikleri ve çeşitleri
URL ve HTML EncodingKullanarakIPSŞaşırtma
HPP(HTTPParametre Pollution) kullanarakIPSatlatma
ŞifrelenmiştrafikkullanarakIPSatlatma
WebUygulama GüvenlikBileşenleri ve TemelHTTPBilgisi
İstemci
Sunucu
Veritabanı
UygulamaSunucusu
NetworkHattı
Temel HTTP Bilgisi
HTTP Metodları ve İşlevleri
GüvenlikaçısındanHTTP metodlarıve istismarı
HTTP PUT desteği aktif websunucuistismarı
WebUygulamalarınaYönelikKeşif Çalışmaları
57. Arama motorukullanarakwebzafiyeti keşif teknikleri
Google üzerindenwebuygulamalarınaaitgirdi alanlarınınbelirlenmesi
Google üzerindenhedefsisteme aitwebplatformuaraştırması
Önemli aramakriterleri
Altalan adı keşif çalışması
Sanal host(virtual host) kullanansistemleri belirleme
Altdizinkeşif çalışması
Yönetimpanellerine aitdosya/dizinlerinbelirlenmesi
Dirbuster,Wfuzzaraçlarınınkullanımı
Hata mesajlarındanhassasbilgilerineldeedilmesi
IPS,WAF keşif çalışmaları
OWASPTOP 10 (2013) ve Sızma TestlerindeKullanımı:XSS(CrossSite Scripting) Zafiyeti Denetim
Teknikleri
XSStanımı, nedenleri
GerçekhayattanXSS saldırı örnekleri
XSSzafiyeti çeşitleri
-StoredXSS
-ReflectedXSS
-DomXSS
XSSsaldırılarında ilerleme
XSSsonucu oturumbilgilerininelde edilmesi
XSSkullanarakzararlı yazılımbulaştırmasenaryorsu
KlasikXSSengellemeyöntelmeri ve atlatmateknikleri
XSSsaldırılarında Beef kullanımı
XSSsaldırılarında Xss-Proxyve Xss-tunnel kullanımı
CSRF (SitelerArasıİstekSahteciliği) Saldırıları
CSRF zafiyeti hakkındatemel bilgilendirme
GerçekhayattanCSRF örnekleri
58. Gmail,Amazon.comörnekleri
ÖrnekCSRFsaldırı denemeleri
SQL Enjeksiyonu(SQLInjection) Saldırıları
Temel SQLbilgisi ve veritabanıçeşitleri
-Mysql temel bilgilendirme
-MsSql temel bilgilendirme
-Oracle temel bilgilendirme
-Postresql temel bilgilendirme
Sql injectionve gerçekhayattansaldırıörnekleri
SQL Injectionçeşitleri
-Blind(kör) Sql enjeksiyonsaldırıları
-Error based(hatatabanlı) sql enjeksiyonsaldırıları
-Time based(zamantabanlı) sql enjeksiyonsaldırıları
-Diğersqli çeşitleri
SQLi kullanarakgirişformuaşma/AuthenticationBypass
Time BasedBlindSqli Saldırısıbelirleme yöntemi
Time BasedBlindSqli kullanarakveri çekme- Mssql/Mysql
Otomatize SQLInjectionsaldırılarıve saldırı araçları
Sqlmap, Havij,araçlarınınkullanımı
Veritabanıözelliklerinegöre Sql injectiondenemeleri
SQL InjectionSaldırılarındaİlerleme
SQL injectionkullanarakişletimsistemi ele geçirmesenaryosu
Zararlı Kod EnjeksiyonuSaldırıları(LFI/RFI)
Genel tanımlarve gerçek hayattankod enjeksiyonuörnekleri
Dizingezinimi(DirectoryTreversal)
Local File Inclusion
Remote File Inclusion
59. LFI kullanaraksistemiuzaktanyönetme
URL erişimi kısıtlamaproblemlerine yönelikdenetimler
Insecure DirectObjectReference DenetimTeknikleri
IDOR zafiyeti hakkındatemel bilgilendirme
Gerçekhayattanörnekler
Insecure DirectObjectReference kullanarakyetkişstismarı
Session-Idve cookiebilgilerininistismaredilmesi ile farklıyetkiyesahiphaklarageçiş
İstemci Korumalarıve AşmaDenetimleri
İstemci tarafı güvenlikkorumalarınıaşma - Java Script
İstemci tarafı güvenlikkorumalarınıaşma - HTML Form
Flashkullanılansitelerde güvenlikzafiyeti arama
İstemci tarafındadeğiştirilebilenHTTPbaşlıkbilgileri ve istismaryöntemleri
User-agentdeğerleri ilemobil uygulamarayöneliktestler/atlatma
X-forwarded-forbaşlıkbilgisikullanarakyetkilendirme istismarı
Gizli formalanlarındaki değerlerikullanarakistismaryöntemi
KomutEnjeksiyonu(CommandInjection)Saldırıları
Nedir,nasıl çalışır?
Gerçekhayattankomut enjeksiyonusaldırıörnekleri
Örnekkomutenjeksiyonusaldırıları
Komutenjeksiyonukullanarakhedef sistemi elegeçirme
İhlal EdilmişKimlikDoğrulamave OturumYönetimi
KimlikDoğrulamaDenetimive Saldırıları
Kimlikdoğrulamaçeşitleri
Form tabanlıkimlikdoğrulama
Kimlikdoğrulamayöntemlerine yönelikparolabulmadenemeleri
Captcha kullanılansistemlere yönelikgüvenliktestleri
Sessionfixationsaldırısıve etkileri
60. HTTP Bağlantı Güvenliğine YönelikDenetimler
SSL/TLS Kavramları
TLS çalışma yapısı ve temel güvenlikzafiyetleri
Sertifikaotoriresi,PKIkavramlarıve kullanımalanları
SSL konusundaMITMörnekleri
SSLStripkullanarakSSLbağlantılarında araya girme
HTTPS bağlantılardoturumbilgisi/çerezlerinaçıkolarakelde edilmesi
Sidejacking,surfjackingsaldırılarıve önlemleri
Sızma TestlerindeWebTabanlıArkaKapı (Backdoor) Kullanımı
Backdoor,shell kavramlarıve farkları
Metasploitkullanarakplatformaözel webtabanlıarkakapı oluşturma
PHP Shell Oluşturma
JSPShell Oluşturma
ASPShell Oluşturma
Antivirüslertarafındantanınmayacakwebshell oluşturma
WeBaCookullanaraktanınmazwebshell oluşturmaörneği
Antivirüsatlatmaamaçlıshell (Laudanum) kullanımı
Webve UygulamalaraYönelikDos/DDoSSaldırıları
Genel DoS/DDoSsaldırılarıve gerçekhayattan örnekler
WebuygulamalarınayönelikDoS/DDoSsaldırıları
HTTP GET FloodDoS/DDoSsaldırısı gerçekleştirme
HTTP SlowlorisDoSsaldırısıgerçekleştirme
OWASPHTTP DoS aracı kullanarakwebstrestestleri
SSL kullanarak DoSgerçekleştirme
THC SSL DoS yazılımı kullanarakssl tabanlıdossaldırı örneği
Açık KaynakKodve Ticari Web Güvenliği TaramaYazılımları
Niktokullanarakstatikwebgüvenliktestleri
61. W3af kullanarakdinamikwebgüvenliktestleri
Netsparkerkullanarakdinamikwebgüvenliktestleri
OwaspZAP,Burp Proxykullanımı
OpenmenuShare
0 0
06/08/14--11:34: Asp.NetGelişmişHataAyıklamaYazılımlarıve GüvenlikZafiyetleri
ASP.NETplatformuüzerinde yazılanwebuygulamalarındaelmah,trace gibi hataayıklama,loglama
araçları vardır. Bu araçlar uygulamageliştiricininveyasite yöneticisinin,kullanıcılarınkarşılaştığıhata
sayfalarıile ilgili detaylıbilgileralmasınısağlar.Buuygulamalardoğruyapılandırılmadığındatuttukları
bilgiler( IP,cookie,kullanıcıadı, yerel dizinhattabazenparola,vb.)herkestarafındangörülebilir.
Doğru yapılandırılmayansitelerayrıcaGoogle tarafındandaönbelleğe alınmışolabilir.
Böyle sitelerELMAH için,
inurl:elmah.axdSqlException
inurl:elmah.axdselectwhere from
inurl:elmah.axdASPXAUTH
Trace.axdiçin;
inurl:”trace.axd”ext:axd“ApplicationTrace”
Google arama parametreleriyle tespitedilebilir.
Ne yapılabilir?
IP,kullanıcıadı , yerel dizin,vbbilgilerkeşif aşamasındahackerlarınelini güçlendirecek,saldırının
ileriki aşamalarındakullanabilecekönemesahiptir.
Cookie bilgisi ise yetki yükseltmekiçinkullanılabilir.Meselasiteye girişyapmışbiryetkili kullanıcısite
üzerinde birhataylakarşılaştığındabuloglanacaktır.Loglananbilgilerarasındacookie bilgiside varsa
Firefox ve CookiesManagerkullanılarak(yadaherhangibirtarayıcı ve cookie yöneticisi kullanılabilir.)
o kullanıcıhaklarıylasiteye erişimsağlanabilir.
Nasıl?
62. ÖrnekbirTrace.axdsayfası aşağıdaki gibidir.SessionIddeğeri,oaniçinaktif olanbir oturumbilgisini
tutmaktadır.Bu değerkopyalanır.
Herhangi bircookie düzenleme aracıylabize aitASP.NET_SessinIdbudeğerle değiştirilir.
Sayfayenilendiğinde sistemeoSessionIdsahipkullanıcıhaklarıylaerişimsağlanır.
ELMAH tarafındanloglanmış,cookie içermeyenancakbilgi ifşasıolanörnekbirsayfaaşağıdaki gibidir.
Nasıl ÖnlemAlınabilir?
ELMAH varsayılanolarak uzaktanerişime kapalıdır.Dahasonra uygulamageliştiricitarafından
uzaktanerişime açılabilir.Eğergerekli değilse buerişiminkapatılmasıgerekiryada görüntülemekiçin
bir yetkilendirme(authorization)formukoyulmalıdır.Buişleminnasıl yapılacağı ELMAH geliştiricisi
tarafındanşu bağlantı 'da anlatılmıştır.
Trace.axd'de varsayılanolarakuzaktanerişime kapalıdır.Uzaktanerişimve yetkilendirme içinELMAH
kadar esnekliksunmasadagüvenliyapılandırmaiçinşubağlantıtakipedilebilir.
63. OpenmenuShare
0 0
06/08/14--11:38: Bilgi Güvenliği AKADEMİSİHaziran-Aralık2014 EğitimTakvimi
Yılın ikinci yarısı açmayı planladığımızeğitimlerinlistesi ve takvimi belli oldu.Güncel eğitimtakvimine
http://www.bga.com.tr/egitim-takvimi.html adresindenerişimsağlanabilir.
HAZİRAN
Tarih EğitimAdı Bilgi Durum Süresi Lokasyon/İl
2-6 Haziran2014 CISSPSertifikasyonEğitimi Tıklayınız DOLU 5 Gün İstanbul
Başvur
2-6 Haziran2014 Sertifikalı/LisanslıPentestUzmanıEğitimi Tıklayınız 5 Gün
Ankara Başvur
3-5 Haziran2014 WebUygulama GüvenlikTestleriEğitimi Tıklayınız DOLU 3 Gün
Ankara Başvur
9-11 Haziran 2014 Kurumsal AğlardaMalware Analizi Eğitimi Tıklayınız 3 Gün
Ankara Başvur
9-13 Haziran 2014 BeyazŞapkalıHacker Eğitimi Tıklayınız 5 Gün İstanbul
Başvur
16-20 Haziran2014 CISSPSertifikasıEğitimiTıklayınız 5 Gün Ankara Başvur
17-19 Haziran2014 BDDK KapsamlıSızma Testi Eğitimi (Bankaözel)Tıklayınız DOLU 3 Gün
İstanbul Başvur
20-22 Haziran2014 WebUygulama GüvenlikTesti Eğitimi Tıklayınız 3 Gün
İstanbul Başvur
23-24 Haziran2014 CertificedIncidentHandlerEğitimi Tıklayınız 2 Gün
İstanbul Başvur
64. 23-27 Haziran2014 BeyazŞapkalıHacker Eğitimi Tıklayınız 5 Gün Ankara
Başvur
23-27 Haziran2014 Sertifikalı/LisanslıPentest UzmanıEğitimi Tıklayınız 5 Gün
İstanbul Başvur
AĞUSTOS
Tarih EğitimAdı Bilgi Durum Süresi Lokasyon/İl
16-17-23-24 Ağustos2014 Bash ScriptingProgramlamaEğitimi Tıklayınız 4 Gün
İstanbul Başvur
25-29 Ağustos2014 BeyazŞapkalıHacker Eğitimi Tıklayınız 5 Gün İstanbul
Başvur
EYLÜL
Tarih EğitimAdı Bilgi Durum Süresi Lokasyon/İl
1-3 Eylül 2014 UygulamalıAğ Güvenliği EğitimiTıklayınız 3 Gün İstanbul
Başvur
3-5 Eylül 2014 Ağ ve GüvenlikYöneticileri içinLinux Eğitimi Tıklayınız 3 Gün
Ankara Başvur
4-6 Eylül 2014 İleri SeviyeAğGüvenliği EğitimiTıklayınız 3 Gün İstanbul
Başvur
1-5 Eylül 2014 SertifikalıAğGüvenliği UzmanıEğitimi Tıklayınız 5 Gün İstanbul
Başvur
8-10 Eylül 2014 PfSense GüvenlikDuvarıEğitimiTıklayınız 3 Gün İstanbul
Başvur
12-14 Eylül 2014 Kurumsal AğlardaMalware(ZararlıYazılım) Analizi Eğitimi Tıklayınız
3 Gün İstanbul Başvur
15-19 Eylül 2014 BeyazŞapkalıHacker Eğitimi Tıklayınız 5 Gün Ankara
Başvur
18-20 Eylül 2014 Ağ ve GüvenlikYöneticileri içinLinux Eğitimi Tıklayınız 3 Gün
İstanbul Başvur
22-26 Eylül 2014 BeyazŞapkalıHacker Eğitimi Tıklayınız 5 Gün İstanbul
Başvur
22-24 Eylül 2014 ISO27001 Bilgi GüvenliğiYönetimi Eğitimi(Yeni İçerikİleBirlikte - 2013)
Tıklayınız 3 Gün Ankara Başvur
EKİM
65. Tarih EğitimAdı Bilgi Durum Süresi Lokasyon/İl
1-3 Ekim2014 UygulamalıAğ Güvenliği EğitimiTıklayınız 3 Gün Ankara Başvur
1-3 Ekim2014 Saldırı Tespitve EngellemeSistemi - SnortEğitimi Tıklayınız 3 Gün
İstanbul Başvur
13-15 Ekim2014 İleri SeviyeAğGüvenliği EğitimiTıklayınız 3 Gün Ankara
Başvur
16-18 Ekim2014 AdvancedPenetrationTesting(CAST611) Tıklayınız 3 Gün
İstanbul Başvur
20-24 Ekim2014 BeyazŞapkalıHacker Eğitimi Tıklayınız 5 Gün İstanbul
Başvur
25-26 Ekim2014 Mobil UygulamaGüvenlikDenetimi Eğitimi Tıklayınız 2 Gün
- Başvur
27-31 Ekim2014 CISSPSertifikasıHazırlıkEğitimiTıklayınız 5 Gün İstanbul
Başvur
KASIM
Tarih EğitimAdı Bilgi Durum Süresi Lokasyon/İl
3-5 Kasım2014 Kurumsal AğlardaMalware Analizi Eğitimi Tıklayınız 3 Gün
Ankara Başvur
6-8 Kasım2014 AdvancedPenetrationTesting(CAST611) Tıklayınız 3 Gün
Ankara Başvur
17-21 Kasım2014 BeyazŞapkalıHacker Eğitimi Tıklayınız 5 Gün Ankara
Başvur
24-28 Kasım2014 BeyazŞapkalıHacker Eğitimi Tıklayınız 5 Gün İstanbul
Başvur
24-28 Kasım2014 CISSPSertifikasıHazırlıkEğitimiTıklayınız 5 Gün Ankara
Başvur
- WebUygulama GüvenlikTestleriEğitimi Tıklayınız 3 Gün Ankara
Başvur
- WebUygulama GüvenlikTestleriEğitimi Tıklayınız 3 Gün İstanbul
Başvur
ARALIK
Tarih EğitimAdı Bilgi Durum Süresi Lokasyon/İl
2-3 Aralık2014 Log Yönetimi ve AnaliziEğitimi Tıklayınız 3 Gün Ankara Başvur
66. 8-9 Aralık2014 Log Yönetimi ve AnaliziEğitimi Tıklayınız 3 Gün Ankara Başvur
22-26 Aralık2014 BeyazŞapkalıHacker Eğitimi Tıklayınız 5 Gün İstanbul
Başvur
Eğitimtakvimi Ocak2014 – Temmuz2014 arasını içermektedir.BilgiGüvenliğiAKADEMİSİeğitim
tarihleri ve içeriklerde değişiklikyapmahakkınısaklıtutmaktadır.Eğitimlerhaftaiçi ve haftasonu09-
17 saatleri arasındayapılmaktadır.
OpenmenuShare
0 0
06/09/14--01:48: KablosuzAğTestlerinde Üzerinde ÇalışılanKanalın -1de Takılı Kalması
Kali Linux işletimsisteminde kuruluolarakgelenaçıkkaynakkodluaraçlar sayesinde KablosuzAğ
testleriniçokhızlıve kararlı birşekilde yapabiliriz.FakatKablosuzağtestlerini yapmakiçinalacağımız
kablosuzadaptörüniçerisinde bulunanchipsetlerininişletimsistemi ile uyumunadikkatetmemiz
gerekiyor.Chipsetiile İşletimsistemi uyumsuzluğuvarise testesnasındaçeşitli hatalaralabiliriz.Bu
hatalardanbirisi
“fixedchannel monX: -1”(Xbirtamsayı),hatasıdır.Bahsedilenhatayıbelirlibirkanal üzerindeçalışma
yapmakistediğimizde alırız.Buuyarı genelliklebelirlenenkanal ve Macadresi içindinleme modunda
alınıyor ise birprobleme yol açmazve belirlediğinizözelliklere sahippaketleri dinleyebilirsiniz.
Bahsedilenuyarıyayol açanörnekbirkullanımiçinekranalıntısı.
Sadece bildirimamaçlıolanuyarıyıaldığımız örnekbir ekranalıntısı.
Bu ekranalıntısında olduğugibi uyarısadece bildirimdüzeyindeolupçalışmanızıengellemez.
Fakat paketenjeksiyonuyapmakistediğimizdeaynısonucuelde edemeyiz.Yani oluşturulanpaketleri
seçilmişbirkanal üzerindenseçilmişbirhedefe göndermekistediğimizde aldığımızuyarıhata
niteliğindeolupkomutlarımızınçalışmasınıengeller.
Bahsedilenuyarıyayol açanbirkullanımve hata çıktısı içinörnekbirekranalıntısı.
67. Hata çıktısında da belirtildiği gibi işlemleringerçekleştirilmesi içinkanal -1denbağlantı
beklenilmektedir.HâlbukibizimtanımladığımızMACadreslerine sahipcihazlarkanal 7de
çalışmaktadır.Hata mesajındadabelirtildiğigibi buproblemi aşmakiçiniki yol deneyebiliriz.
1. Çözüm Yolu
–ignore-negative-one komutuile kullanabiliriz.Bukomutsayesinde kanal -1direkolarakpasgeçilir.
Bu çözümyolununkullanıldığıörnekbirekranalıntısı.
Ekran alıntısında da görüldüğügibi,yine aynıuyarıyıalıyoruzfakatkomutlarımızınçalışmasını
engellememekte.
2. Çözüm yolu
Bu çözümyolundakablosuzadaptörünüzünchipsetininKali Linuxtarafındantanınabileceğibirsürücü
yazılımını yüklemenizgerekiyor.Buradaşunuunutmayalım, herChipseti Kali Linux içinuyumlu
değildir.Buyazılımaraçları ve sürücü yazılımlarınınbilgi güvenliği amaçlı kodgeliştiricileri tarafından
sıfırdan hazırlandığını unutmayalım.Kablosuzağgüvenliği testleri içinkullanabileceğinizbirçok
adaptör bulabilirsiniz.Fakatsatınalmadanönce hangi marka ve modellerin(dahadoğrusuchipsetin)
uyumluolduğunuaraştırmanızıöneriyorum.Konuilealakalıbloğumuzdandafaydalanabilirsiniz.
İlgili makaleye linktenulaşabilirsiniz.
http://blog.bga.com.tr/2011/06/wireless-kartm-packet-injection.html
OpenmenuShare
0 0
06/13/14--00:52: Kali Linux İşletimSisteminde Root ŞifresininSıfırlanması
68. Kali Linux İşletimSistemininRootşifresininSıfırlanması
Linux işletimsistemlerinde rootşifresi unutulduğuzaman,işletimsistemi“single mod”daaçılıp şifre
yenidenyapılandırılabilir.FarklıLinux işletimsistemleriiçinsingle modaerişimelde edebilmekiçin
farklıadımlar izlemekgerekebilir.Bumakalede Kali Linuxişletimsistemi içinrootşifresininnasıl
sıfırlanacağı anlatılacaktır.
İzlenilecekadımlar;
Kali Linux işletimsistemi başlatılır
Boot seçenekleripenceresi,ekranageldiğindeklavyeninyöntuşlarıile 2.satırda bulunanrecovery
mode’useçilir.
Not:Daha sonra çıkacak olansürümlerde bootsıralamasıdeğişebilir,bundandolayısıralamadan
ziyade seçilenbootmodununismine dikkatedilmelidir.
Bu pencere görüntülendiğinde “e”tuşunabasılır(Edit= düzenle).NormaldeKali bootdosyalarını
okumamodundaaçar, bu işlemile yazmamodunageçilerekşifre yenidenyapılandırılabilir.
“e” tuşunabasıldıktansonraki ekranagelecekolanpencere,
Kırmızı çerçeve içerisine alınankısımlardadüzenlemeleryapılmasıgerekiyor.
a- ro = “Read Only“ anlamınagelmektedir.Hali hazırdaolankonfigürasyonunokunupsistemin
hızlı birşekilde başlatılmasıiçinbudeğerseçilidir.Budeğerinokumave yazmahaklarıile aç anlamına
gelen“rw”ile değiştirilmelidir.
b- initrd=/install/initrd.gzsatırınınsonunabirboşlukbırakarakinit=/bin/bashkomutueklenir.
Bu düzenlemelerinyapılmışhalininekrangörüntüsü,
Sistemi buhali ile başlatmakiçin“Ctrl+X”tuşkombinasyonununkullanılmasıgerekmektedir.
69. 4. Ekrana bildirimyazılarınındökülmesi bittiğinde Entertuşunabasılıp,komutsatırınıngörünürlüğü
sağlanmalı.Şimdi şifre değiştirebilir.Gerekliolankomutlarkırmızı çerçeve içeresine alınmıştır.
Not:Görüldüğüüzere sistembumoddabaşlatıldığında,rootyetkileri ileaçılmasınarağmenşifre
istememektedir.Buyöntem,unutulanşifrelerintekrarkazanılmasıadınayararlı biryöntemolduğu
gibi,sisteminfiziksel güvenliğisağlanmadığıtakdirde başkalarınınsistemeerişimi noktasındabir
zafiyetteşkil etmektedir.
Bu aşamadansonra sistemingüçdüğmesi kullanılarakkapatılıp,yenidenaçılmasıgerekmektedir.
Artık sisteme yeni şifre ilegirişyapılabilir.
OpenmenuShare
0 0
06/24/14--09:58: DNSİstekleriniAnalizEderekZararlıYazılımTespiti
Zararlı yazılımlarkomutamerkezleriylehaberleşmede alanadlarınısıklıklakullanırlar.Alanladlarının
kullanımı,internetinkalınınaolduğugibi zararlıyazılımlaradadoğrudanIP adreslerininkullanımıyla
elde edemeyecekleri biresneklikkazandırır.Buesnekliktenyararlanıpkomutamerkezlerinin
kapatılmasıylazararlıyazılım ağının etkisizleştirilmesini zorlaştıracakyöntemleruygulayabilirler.
1. Alanadındaki Anormalliklerin İncelenmesi:
Alanadıgözdenkaçması amacıylabilindikbiralanadınaçokbenzerşekilde seçilmişolabilir.Örneğin:
rnicrosoft.com,1inkedin.comgibi adreslereşüpheyleyaklaşılmasıgerekir.
70. Algoritmikolaraküretilmiş(bkz:DGA) f3122.com, a112331b.com gibi rasgele harf veyarakamlardan
oluşanalanadlarınında detaylıanalizedilmesi gerekmektedir.
2. AlanadıKayıtlarının İncelenmesi:
*nix sistemlerde alanadıkayıtları“whoisalanadı”komutuylaeldeedilebilir.Windowsiçinde
Sysinternals’ınwhoisaracıkullanılabilir.Whois,alanadıylailgili oldukçafaydalıbilgilerverir.Örneğin
bir Linux terminalde
“whoisasasas.eu” komutuçalıştırıldığında aşağıdaki çıktı elde edilmektedir.
% The WHOIS service offeredbyEURidand the access tothe records
……………….
% WHOISasasas
Domain: asasas
Registrant:
NOT DISCLOSED!
Visitwww.eurid.euforwebbasedwhois.
Reseller:
Technical:
Name: Tech.Service
Organisation: Internet.bsCorp.
Language: en
Phone: +1.2423275277
Fax: +1.2423275277
Email: euridtech@internet.bs
71. Registrar:
Name: Internet.bsCorp.
Website:www.INTERNET.bs
Name servers:
ns-canada.topdns.com
ns-uk.topdns.com
ns-usa.topdns.com
….
Bu sorgudandetaylıbilgi elde edilemese de www.eurid.euadresindenbualanadıiçindetaylı
sorgulamayapılabileceği öğrenilmiştir.Adresinwebtabanlısorguiçinkullanılabileceğibelirtilmiştir,
bu yüzdensorgubirwebtarayıcısı aracılığıyla gerçekleştirilebilir.Aksi durumda“whois -h
www.eurid.euasasas.eu”komutuile belitilenadrestensorgulamayapılabilirdi.
Webtabanlı sorgununçıktısı şu şekildedir:
Name asasas
Status REGISTERED (What thismeans)
Registered June 13, 2014
ExpiryDate June 30, 2015
Last update June 13, 2014, 3:12 am
Registrant
Name Hans Bruse
Organisation hansinc
Language German
Address
…..
72. Çıktıdan alanadınınkayıt tarihi,ne zamana kadar kaydedildiği,ensonne zamangüncellendiği,
kaydedenkişininve kuruluşunadıgibi bilgilerelde edilebilmektedir.Örnektegörüldüğügibi
alanadınınkayıt veyagüncellenmetarihininçokyeni olması,veyasüresinindolmasınaçokaz kalmış
olması,gerçekçi olmayankişi kurumbilgileri gibidurumlartekbaşınayeterli olmamaklaberaber
alanadınınzararlı aktivitieleriçinkullanıldığınadairipucuolabilir.
3. AlanadınınKara Listelerde Aranması:
Alanadınınzararlı olarakkaydedilmişolmaihtimaline karşıbilindiklistelerdeve aramamotorlarında
aratılması gerekir.
http://www.malwaredomainlist.com/mdl.php zararlı adresleringüncelolaraklistelendiğibir
servistir.
http://www.anti-abuse.org/ ise alanadını birçokfarklıRBL’de (real time blacklist) arayıpsonuçları
listeleyenbirservistir.
Bu aşamada altalanadlarınınbulunupincelenmeside alanadınınzararlıolupolmadığı hakkındafikir
verebilir.AltalanadlarınınbulunmasındaLinux Dnsutils’debulunandigkomutu,dnsmapveyafierce
gibi araçlar kullanılabilir.
Dig komutuylahedef alanadınınDNSsunucusundazone transferözelliğiaçıksao sunucudaki tümDNS
kayıtları elde edilebilir.
“digNS suphelidomain.org” komutuile DNSsunucusuöğrenilir.
“dig@dnsserverafxrsuphelidomain.org” komutuile de zone transferdenemesiyapılır.
$ dig@ns2.3322.net afxr f3322.org
; <<>> DiG 9.8.3-P1 <<>> @ns2.3322.net afxr f3322.org
; (1 serverfound)
;; global options:+cmd
;; Got answer:
;; ->>HEADER<<- opcode:QUERY, status:REFUSED, id: 40085
;; flags:qr rd; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL:0
73. ;; WARNING:recursionrequestedbutnotavailable
;; QUESTION SECTION:
;afxr. IN A
;; ANSWERSECTION:
f3322.org. 60 IN A 101.71.195.119
……
;; AUTHORITY SECTION:
f3322.org. 86400 IN NS ns2.3322.net.
f3322.org. 86400 IN NS ns1.3322.net.
……
4. Alanadı-IPÇözümlemesininAnalizEdilmesi:
“host alanadı” komutuylaalanadınınçözdüğüIPadresleri öğrenilir.
hostf3322.org
f3322.org has address101.71.195.119
Daha sonra öğrenilenIPadresleri
http://www.malwaredomainlist.com/mdl.php
http://www.anti-abuse.org/
adreslerindenkaralistelerde aranır.
Bazı zararlı yazılımlar,özellikle botnetlerkomutamerkezi olarakkullandıklarısunucularıntespitedilip
engellenmesinizorlaştırmakiçin“fastflux”adıverilenbiryöntemkullanırlar.Buyöntemle C&C
74. sunucularıfarklıservissağlayıcılardakonuşlandırıpbusunucularınIPadresleri DNSkayıtlarınagirilir.
Round-robinmantığıylaDNSçözümlemesindeenüsttekiIPadresinindeğişmesi sağlanır.Normalde
bu yöntemyükdengelemeveyahizmetkesintilerini engelleme amaçlıkullanılmaktadır.Örneğinart
arda çalıştırılan iki “hostgoogle.com”komutununçıktısışu şekildedir.
$ hostgoogle.com
google.comhasaddress173.194.70.100
google.comhasaddress173.194.70.102
google.comhasaddress173.194.70.139
google.comhasaddress173.194.70.101
google.comhasaddress173.194.70.138
google.comhasaddress173.194.70.113
….
$ hostgoogle.com
google.comhasaddress173.194.70.138
google.comhasaddress173.194.70.113
google.comhasaddress173.194.70.100
google.comhasaddress173.194.70.102
google.comhasaddress173.194.70.139
google.comhasaddress173.194.70.101
….
Fast flux alanadlarınıtespitetmekiçinbiralanadınındahaönce çözdüğü ipadreslerinilisteleyebilen
www.bfk.de
www.robtex.com/
servislerikullanılabilir.Ayrıcarobtex.comIP’ninbulunduğucoğrafikbölge bilgisini de vermektedir.
Fast flux alanadlarınıngösterdiğibirdiğeranormallikise DNSkaydıTTL değeridir.IPadresleri sürekli
güncellendiğindendolayıDNScevaplarınınönbelleğealınmasısorunoluşturabilir.BuyüzdenTTL
75. değerinin0veyaçokküçük birdeğerolmasıgerekir.TTL değeri “digalanadi.com”komutunun
çıktısında görülebilir.
Yerel ağdaki fastflux alanadlarınınyakalanmasıiçinAustralianHoneynetProject’inTrackeraracı
kullanılabilir.Trackeraracını kurmakiçinsırasıyla aşağıdaki komutlarçalıştırılır.
(eğersistemde postgresql kuruludeğilse)
apt-getinstall postgresql
sudo-u postgrespsql
CREATE DATABASEfast_flux;
CREATE USER trackerWITH PASSWORD'123456';
GRANT ALL PRIVILEGESON DATABASEfast_flux TOtracker;
GRANT ALL PRIVILEGESON ALL TABLES IN SCHEMA PUBLIC TO tracker;
q
add-to-test-table.pl,test_submission.pl,flux.pl dosyalarından$username ve $passwordalanları
güncellenir.
$username=‘tracker’
$password=‘123456’
Veritabanıyüklenipdosyalarçalıştırılabiliryapılır.
sudo-u postgrespsql fast_flux <setupdb.sql
chmodu+x add-to-test-table.pl flux.pl test_submission.pl