Merhaba arkadaşlar. Bu yazımda sizlere Tamper Data hakkında bildiklerimi aktarmaya çalışıcam.
Tamper Data bir Firefox eklentisidir ve bana göre Firefox eklentileri arasında en faydalı olanıdır Kullanabilmek için bilgisayarınıza önce Firefox ardından Tamper Data eklentisini yüklememiz gerekiyor.
Ne İşe Yarar?
HTTP/HTTPS başlıklarını ve POST/GET parametrelerini izleyip, değiştirmeye ve kaydetmenize yarayan bir eklentidir. Parametreleri değiştirerek web uygulamalarına güvenlik testleri yapabilirsiniz.
Nasıl Kullanılır?
Hedef sitede formları doldurduktan sonra Tamper Datayı açıp Start Tampere tıkladıktan sonra onaylama,gönderme vb. butonuna bastığınız anda veriler size gelicektir ve değiştirme imkanı sağlayacaktır.
Ana pencere bölmesindeki sütunlar Ve Görevleri Şunlardır:
Time Zaman İsteği Aşımı V.s
Duration Ne Kadar Zamanda Geri Alınacak.
Total Duration Render aldı ne kadar (öğenin tepki indirme süresini ve tüm alt öğelerini içerir)
Size Alınan içerik boyutu (-1 madde önbellekten yüklendi gösterir)
Method İhraç HTTP yöntemi (GET veya POST)
Status HTTP durum kodu, alınan veya cache Yüklendi
Content Type Verinin tipi alınan (aka Mime Tipi)
URL Talep Tamamen nitelikli bir URL.
Load Flags Alınırken veya içeriği hale getirilmesinde kullanılan Ek HTTP bilgiler.
Neler Yapılabilir?
Aslında bu sizin hayal gücünüze kalmış birşey. Neler yapabileceğiniz tamamen size bağlı ama benim denediğim ve bildiğim saldırı türleri şunlardır;
-Hedef siteye php shelli yüklemenize server engel olduğu zaman shelli JPG formatında yüklemenizi sağlar.
-Alışveriş sitelerinde ürünü sepete atarken tampering yaparak ürünün fiyatını değiştirebilirsiniz veya bunu ödeme ekranındada yaparak ürünü istediğiniz fiyata alabilirsiniz. Eskiden Paypalda yapılabilen birşeydi. (Bunu geliştirebilirsiniz.)
-Şifre sıfırlama formlarında token kullanılarak hesabın hacklenmesini sağlanabilir.Emrullah Akdemir abimizin 2011 yılında Facebookta bulduğu bir güvenlik açığıdır. Detayını incelemenizde fayda olucaktır.
-Online SMS sitelerinde mesajı yollarken gönderen kişinin numarasını değiştirebilirsiniz hatta başlık ekleyebilirsiniz. Mesela karşıdaki insana mesaj geldiğinde gönderen kısmında POLİS,Facebook vs. yazmasını sağlayabilirsiniz. Genellikle dolandırıcılar kullanıyor bu yöntemi ama ben arkadaşlarımı trollemek için kullanıyorum
-SQL İnjection ve XSS saldırılarında kullanabilirsiniz.
-Web üzerinden oynanan oyunlarda hile yapabilirsiniz.
Aklıma şuan sadece bunlar geldi ama bunun sonu yoktur sizin hayal gücünüze kalmış birşeydir
TurkSec.Net ~ Furkan Güneş