Bir Sitedeki Açıklar Nasıl Tespit Edilir ve Güvenlik Testi Nasıl Yapılır?

[AnonymCheat]

İyi akşamlar sevgili arkadaşlar yaklaşık 2-3 aydır kafamı ciddi derecede kurcalayan bir konu bir site üzerinden istenilen giriş bilgileri veya çeşitli her türlü bilgi nasıl çekilir? O siteye karşın phishing harici yöntemler nelerdir? Sitede bulunan açıklar nasıl taratılır ve bulunan açıklara göre nasıl bir yol haritası izlenir? Gibi sorulara genel ve uzun, anlaşılabilir cevaplar verirseniz çok sevinirim

 

[Exploit Bey]

İyi akşamlar sevgili arkadaşlar yaklaşık 2-3 aydır kafamı ciddi derecede kurcalayan bir konu bir site üzerinden istenilen giriş bilgileri veya çeşitli her türlü bilgi nasıl çekilir? O siteye karşın phishing harici yöntemler nelerdir? Sitede bulunan açıklar nasıl taratılır ve bulunan açıklara göre nasıl bir yol haritası izlenir? Gibi sorulara genel ve uzun, anlaşılabilir cevaplar verirseniz çok sevinirim

hedefin haritasini cikar once nmap ile port ve servisleri belirle sonra teknoloji stackini ogren wappalyzer veya whatweb ile ardindan dizin ve dosya kesfi yap gobuster veya dirb ile parametreleri fuzz et wfuzz ile burada asil onemli olan mantiksal akil yurutme ve zafiyet avi yani buldugun her girdi noktasini test et sql injection icin tiklari dene xss icin payloadlari dene lfi icin path traversal dene api varsa endpointleri gez yetki kontrollerini dene rate limit asimini dene acik kaynak istihbarati ile ek bilgi topla shodan censys google dorklari ile hassas veri ara butun bunlarin amaci zafiyet vektorlerini belirlemek ve bunlari birlestererek saldiri yuzeyini genisletmek yani her sey bir butunun parcasi ve zincirleme reaksiyon olusturmak buldugun bir acik baska bir aciga kapı acar onemli olan butunu gormek ve sistemin zayif noktasini bulmak

 

[AnonymCheat]

hedefin haritasini cikar once nmap ile port ve servisleri belirle sonra teknoloji stackini ogren wappalyzer veya whatweb ile ardindan dizin ve dosya kesfi yap gobuster veya dirb ile parametreleri fuzz et wfuzz ile burada asil onemli olan mantiksal akil yurutme ve zafiyet avi yani buldugun her girdi noktasini test et sql injection icin tiklari dene xss icin payloadlari dene lfi icin path traversal dene api varsa endpointleri gez yetki kontrollerini dene rate limit asimini dene acik kaynak istihbarati ile ek bilgi topla shodan censys google dorklari ile hassas veri ara butun bunlarin amaci zafiyet vektorlerini belirlemek ve bunlari birlestererek saldiri yuzeyini genisletmek yani her sey bir butunun parcasi ve zincirleme reaksiyon olusturmak buldugun bir acik baska bir aciga kapı acar onemli olan butunu gormek ve sistemin zayif noktasini bulmak

Verdiğin değerli bilgiler için teşekkürler bunları hangi işletim sistemi üzerinden yapmamı önerirsin?

 

[Exploit Bey]

Verdiğin değerli bilgiler için teşekkürler bunları hangi işletim sistemi üzerinden yapmamı önerirsin?

kali linux
cunku sektor standardi budur tum tools hazir gelir coomunity buyuk documentation guclu ctflerde ve gercek hayatta en cok kullanilan budur parrot os da olur hafiftir privacy tools gelir ama kali daha cok kisi tarafindan kullanilir ve desteklenir blackarch var cok ileri seviyedir arch sevenler bakar ama ugrasmak istemiyorsan kali al gec vm kur veya usb den live boot yap kafani yorma

 

[REALWHİTEHATHACKER12]

Kali Linux toolları ve termux toolları ile web pentest yapılabilir. Öğrenmesi zaman alıyor ama istiyorsanız iş yapar.