Sağ olasın kardeşimHer işinizi kaliteli yapıyorsunuz hocam.Helal olsun size maşAllah.
Hocam Emeğinize sağlık ..Hocam Giriş sayfası parola tahmin etme Zafiyetiyle ilgili de Video çekme Şansınız var mı acaba ?Bu video da PHP ile Host Header zafiyeti içeren bir uygulama yazıp üzerine konuşuyoruz ve zafiyeti engelliyoruz.
Sağ olasın. Müneccim Brute Force gibi bir şey oluyor herhalde bu zaafiyet yani böyle bir zafiyet duymadım ben kısaca brute force değil mi bu olay?Hocam Emeğinize sağlık ..Hocam Giriş sayfası parola tahmin etme Zafiyetiyle ilgili de Video çekme Şansınız var mı acaba ?
Hocam CWE-200 Olarak geçiyor yani evet Brute force ama Şöyle birşey var sanırım..Burp suit ile siteyi dinlemeye alındığında HTTP İstek kısmında kullanıcının Girdiği Username ve Password bilgileri görünüyorSağ olasın. Müneccim Brute Force gibi bir şey oluyor herhalde bu zaafiyet yani böyle bir zafiyet duymadım ben kısaca brute force değil mi bu olay?
Bir web uygulamasına yaptığın her istek HTTP isteğinde gider zaten. Kullanıcı bilgileri de formdan gönderilirken bu parametreler http request de doğal olarak gider. Web uygulaması http üzerinden konuşur, e doğal olarak http request de istediği her şeyi apaçık gönderir ki sunucu kişinin derdini anlayıp response dönsün. Ha bahsettiğin bir zafiyet olabilir ama açıklaması işleyişi bu olamaz. Yani senin ifade edişine göre bu bir zaaf değilHocam CWE-200 Olarak geçiyor yani evet Brute force ama Şöyle birşey var sanırım..Burp suit ile siteyi dinlemeye alındığında HTTP İstek kısmında kullanıcının Girdiği Username ve Password bilgileri görünüyor
Doğrudur hocamBir web uygulamasına yaptığın her istek HTTP isteğinde gider zaten. Kullanıcı bilgileri de formdan gönderilirken bu parametreler http request de doğal olarak gider. Web uygulaması http üzerinden konuşur, e doğal olarak http request de istediği her şeyi apaçık gönderir ki sunucu kişinin derdini anlayıp response dönsün. Ha bahsettiğin bir zafiyet olabilir ama açıklaması işleyişi bu olamaz. Yani senin ifade edişine göre bu bir zaaf değil
Yanıt brute force'a göre bir şey yok öncelikle http nedir, nasıl çalışır bunu bir öğren istiyorsan. Http request, reponse, response code bu üç başlığı iyice araştır. Şöyle düşün eğer bir kaynağa erişiliyorsa istek başarılıysa response 200 döner. Yani senin brute force da gönderdiğin bilgiler doğru ise başarılı giriş olacağından http reponse 200 code üretir. Eğer gönderdiğin bilgiler doğru değilse 302 response görmen doğaldır. Bilgiler hatalı olur, bu sebepten seni bulunduğun yere geri yönlendirir. Yani başarılıysa 200, başarısızsa 302 yanıtları ile karşılaşırsın brute force ataklarında.Doğrudur hocam
Peki hocam , Brute force için Yanıt kısmında ne gibi bir şey olması gerekir ?
Cevaplar için teşekkür ederim hocam Bahsettiğiniz konuları araştıracağım kesinlikleYanıt brute force'a göre bir şey yok öncelikle http nedir, nasıl çalışır bunu bir öğren istiyorsan. Http request, reponse, response code bu üç başlığı iyice araştır. Şöyle düşün eğer bir kaynağa erişiliyorsa istek başarılıysa response 200 döner. Yani senin brute force da gönderdiğin bilgiler doğru ise başarılı giriş olacağından http reponse 200 code üretir. Eğer gönderdiğin bilgiler doğru değilse 302 response görmen doğaldır. Bilgiler hatalı olur, bu sebepten seni bulunduğun yere geri yönlendirir. Yani başarılıysa 200, başarısızsa 302 yanıtları ile karşılaşırsın brute force ataklarında.
Turkhackteam.org internet sitesi 5651 sayılı kanun’un 2. maddesinin 1. fıkrasının m) bendi ile aynı kanunun 5. maddesi kapsamında "Yer Sağlayıcı" konumundadır. İçerikler ön onay olmaksızın tamamen kullanıcılar tarafından oluşturulmaktadır. Turkhackteam.org; Yer sağlayıcı olarak, kullanıcılar tarafından oluşturulan içeriği ya da hukuka aykırı paylaşımı kontrol etmekle ya da araştırmakla yükümlü değildir. Türkhackteam saldırı timleri Türk sitelerine hiçbir zararlı faaliyette bulunmaz. Türkhackteam üyelerinin yaptığı bireysel hack faaliyetlerinden Türkhackteam sorumlu değildir. Sitelerinize Türkhackteam ismi kullanılarak hack faaliyetinde bulunulursa, site-sunucu erişim loglarından bu faaliyeti gerçekleştiren ip adresini tespit edip diğer kanıtlarla birlikte savcılığa suç duyurusunda bulununuz.