- 20 Eyl 2015
- 881
- 0
Çerez & Oturum Zehirleme İle Şifresini Bilmediğimiz Bir Kullanıcının Hesabına Erişmeyi Göstericem Emek Verdim Sonuna Kadar Okuyun Çok Fadasını Görüceksiniz
Çerezler Zayıf Http Protokolündeki En Temel Bileşenlerdir Saldırgan Web Yazılımındaki Birkaç Kullanıcı Bilgisine Sahip İse Web Yazılımının Nasıl Bir Şifreleme Yaptıgını Anlayarak Diğer Kullanıcıların Yekilerine Ulaşabilir Biz Bu Konuyu Webgoat Ve PenProxy Kullanarak İnceleyelim
Öncelikle Pen Proxy İndirelim Tıkla İndir Pen Proxy Ardından Pen Proxy Yazılımını java -jar penproxy.jar 8080 Bu Kod İle Aktif Hale Getirelim
Daha Sonra Tarayıcımıza Artık Paketleri Pen Proxynin Göndereceğini Belirtelim Ki PenProxy Bu Şekilde Paketleri İzleyebilir bunuda İnternet Explorer = Araçlar = İnternet Seçenekleri = Bağlantılar = Yerel Ağ Ayarları Burdan Yapıyoruz
WEB GOAT Tüm Web Zayıflıklarini İçinde Barındıran Güvenlik Uzmanlarının Web Zayıflık Testine Kullandıgı Bir Sitedir Burdan İndirin https://github.com/WebGoat/WebGoat Ardından Webgoat Yazılımındaki '' How To Spoof an Authenication Cookie '' Başlıgına Tıklayarak Nasıl Yapıldıgını Ögrenmeye Çalışalım Web Goat Yazılımının Bu Sayfadaki Dersinde Kullanıcı Hesabını Bildiğimiz (Webgoat , aspect) bu hesapları kullanarak Şifresini Bilmediğimiz Alice İsimli hesabın yetkilerine Ulaşmamızı Sağlar Öncelikle ID Şifresini Bildiğimiz Webgoa Hesabı İle Oturum Açalım
Webgoat İle Oturum Açtıktan Sonra Web Yazılımının O Kullanıcıya Atamış Olduğu Çerez Bilgilerine Penproxyden Bakalım
Daha Sonra Aspect Kullanıcı Ve Şifresi İle Oturum Açalım Ve Çerez Bilgilerini Okuyalım
Evet Web Yazılımının Bu İki Kullanıcı İçinde Nasıl Çerez Ataması Yaptıgını Gördük Kullanıcı Adını Ve Çerezlerini Bi kenara not Edelım Ve ulaşmaya Çalıştığımız Alice Kullanıcısınız Şifresini Tahmin Etmeye Çalışalım
Pehor Bu Çerez Bilgisini Dikkatli İncelersek 65432 sayılarının her iki kullanıcı içinde ayni şekilde kullanıldıgını ve daha sonraki bölümü detaylı incelediğimizde Buraya Çok Dikkat Kullanıcı İsminin Tersten Yazılıp Alfabedeki Birsonraki harf ile yer Değistirmiş olduğunu Görürüz yani alicenin çerez bilgisi 65432fdjmb olduğunu göreceksiniz
Alicenin Çerez Bilgisi İle Diğer iki Kullanıcıdan (webgoat , aspect) biri ile oturum açtığımızda sayfayı yenilerken Pen Proxy ile yeniden yazarsak Alice Kullanıcının Hesabına Ulaşmıs Oluruz PEHOR
Evet Gördügünz Gibi Çerez Bilgisi İle Şifresi Bilinmeyen Bir Kullanıcının Hesabına Ulaşmış Olduk
Bu Yöntem İle Bunun Önlemini Almamış Forumlarda Şifresini Bilmediğiniz Kişilerin Hesabını Çalabilirsiniz Umarım Faydalı Olmuştur
İyi Forumlar
Çerezler Zayıf Http Protokolündeki En Temel Bileşenlerdir Saldırgan Web Yazılımındaki Birkaç Kullanıcı Bilgisine Sahip İse Web Yazılımının Nasıl Bir Şifreleme Yaptıgını Anlayarak Diğer Kullanıcıların Yekilerine Ulaşabilir Biz Bu Konuyu Webgoat Ve PenProxy Kullanarak İnceleyelim
Öncelikle Pen Proxy İndirelim Tıkla İndir Pen Proxy Ardından Pen Proxy Yazılımını java -jar penproxy.jar 8080 Bu Kod İle Aktif Hale Getirelim
Daha Sonra Tarayıcımıza Artık Paketleri Pen Proxynin Göndereceğini Belirtelim Ki PenProxy Bu Şekilde Paketleri İzleyebilir bunuda İnternet Explorer = Araçlar = İnternet Seçenekleri = Bağlantılar = Yerel Ağ Ayarları Burdan Yapıyoruz
WEB GOAT Tüm Web Zayıflıklarini İçinde Barındıran Güvenlik Uzmanlarının Web Zayıflık Testine Kullandıgı Bir Sitedir Burdan İndirin https://github.com/WebGoat/WebGoat Ardından Webgoat Yazılımındaki '' How To Spoof an Authenication Cookie '' Başlıgına Tıklayarak Nasıl Yapıldıgını Ögrenmeye Çalışalım Web Goat Yazılımının Bu Sayfadaki Dersinde Kullanıcı Hesabını Bildiğimiz (Webgoat , aspect) bu hesapları kullanarak Şifresini Bilmediğimiz Alice İsimli hesabın yetkilerine Ulaşmamızı Sağlar Öncelikle ID Şifresini Bildiğimiz Webgoa Hesabı İle Oturum Açalım
Webgoat İle Oturum Açtıktan Sonra Web Yazılımının O Kullanıcıya Atamış Olduğu Çerez Bilgilerine Penproxyden Bakalım
Daha Sonra Aspect Kullanıcı Ve Şifresi İle Oturum Açalım Ve Çerez Bilgilerini Okuyalım
Evet Web Yazılımının Bu İki Kullanıcı İçinde Nasıl Çerez Ataması Yaptıgını Gördük Kullanıcı Adını Ve Çerezlerini Bi kenara not Edelım Ve ulaşmaya Çalıştığımız Alice Kullanıcısınız Şifresini Tahmin Etmeye Çalışalım
Pehor Bu Çerez Bilgisini Dikkatli İncelersek 65432 sayılarının her iki kullanıcı içinde ayni şekilde kullanıldıgını ve daha sonraki bölümü detaylı incelediğimizde Buraya Çok Dikkat Kullanıcı İsminin Tersten Yazılıp Alfabedeki Birsonraki harf ile yer Değistirmiş olduğunu Görürüz yani alicenin çerez bilgisi 65432fdjmb olduğunu göreceksiniz
Alicenin Çerez Bilgisi İle Diğer iki Kullanıcıdan (webgoat , aspect) biri ile oturum açtığımızda sayfayı yenilerken Pen Proxy ile yeniden yazarsak Alice Kullanıcının Hesabına Ulaşmıs Oluruz PEHOR
Evet Gördügünz Gibi Çerez Bilgisi İle Şifresi Bilinmeyen Bir Kullanıcının Hesabına Ulaşmış Olduk
Bu Yöntem İle Bunun Önlemini Almamış Forumlarda Şifresini Bilmediğiniz Kişilerin Hesabını Çalabilirsiniz Umarım Faydalı Olmuştur
İyi Forumlar
Son düzenleme:
