PHP Yazılım Güvenliği - Host Header Injection

Pentester · 14 Ara 2021

Bu video da PHP ile Host Header zafiyeti içeren bir uygulama yazıp üzerine konuşuyoruz ve zafiyeti engelliyoruz.

DeathWarrior01 · 14 Ara 2021

Her işinizi kaliteli yapıyorsunuz hocam.Helal olsun size maşAllah.

Pentester · 14 Ara 2021

DeathWarrior01' Alıntı:
Her işinizi kaliteli yapıyorsunuz hocam.Helal olsun size maşAllah.

Sağ olasın kardeşim

green.php · 14 Ara 2021

elinize sağlık

METE _HAN · 14 Ara 2021

Pentester' Alıntı:
Bu video da PHP ile Host Header zafiyeti içeren bir uygulama yazıp üzerine konuşuyoruz ve zafiyeti engelliyoruz.

Hocam Emeğinize sağlık

..Hocam Giriş sayfası parola tahmin etme Zafiyetiyle ilgili de Video çekme Şansınız var mı acaba ?

Toryy · 14 Ara 2021

Elinize sağlık

Pentester · 14 Ara 2021

METE _HAN' Alıntı:
Hocam Emeğinize sağlık ..Hocam Giriş sayfası parola tahmin etme Zafiyetiyle ilgili de Video çekme Şansınız var mı acaba ?

Sağ olasın. Müneccim Brute Force gibi bir şey oluyor herhalde bu zaafiyet

yani böyle bir zafiyet duymadım ben kısaca brute force değil mi bu olay?

METE _HAN · 14 Ara 2021

Pentester' Alıntı:
Sağ olasın. Müneccim Brute Force gibi bir şey oluyor herhalde bu zaafiyet yani böyle bir zafiyet duymadım ben kısaca brute force değil mi bu olay?

Hocam CWE-200 Olarak geçiyor yani evet Brute force ama Şöyle birşey var sanırım..Burp suit ile siteyi dinlemeye alındığında HTTP İstek kısmında kullanıcının Girdiği Username ve Password bilgileri görünüyor

Pentester · 14 Ara 2021

METE _HAN' Alıntı:
Hocam CWE-200 Olarak geçiyor yani evet Brute force ama Şöyle birşey var sanırım..Burp suit ile siteyi dinlemeye alındığında HTTP İstek kısmında kullanıcının Girdiği Username ve Password bilgileri görünüyor

Bir web uygulamasına yaptığın her istek HTTP isteğinde gider zaten. Kullanıcı bilgileri de formdan gönderilirken bu parametreler http request de doğal olarak gider. Web uygulaması http üzerinden konuşur, e doğal olarak http request de istediği her şeyi apaçık gönderir ki sunucu kişinin derdini anlayıp response dönsün. Ha bahsettiğin bir zafiyet olabilir ama açıklaması işleyişi bu olamaz. Yani senin ifade edişine göre bu bir zaaf değil

'The Wolf · 14 Ara 2021

Elinize sağlık hocam.

P4$A · 14 Ara 2021

Elinize Sağlık Hocam

Bahadır-Şad · 14 Ara 2021

Elinize sağlık hocam

METE _HAN · 14 Ara 2021

Pentester' Alıntı:
Bir web uygulamasına yaptığın her istek HTTP isteğinde gider zaten. Kullanıcı bilgileri de formdan gönderilirken bu parametreler http request de doğal olarak gider. Web uygulaması http üzerinden konuşur, e doğal olarak http request de istediği her şeyi apaçık gönderir ki sunucu kişinin derdini anlayıp response dönsün. Ha bahsettiğin bir zafiyet olabilir ama açıklaması işleyişi bu olamaz. Yani senin ifade edişine göre bu bir zaaf değil

Doğrudur hocam

Peki hocam , Brute force için Yanıt kısmında ne gibi bir şey olması gerekir ?

Pentester · 14 Ara 2021

METE _HAN' Alıntı:
Doğrudur hocam
Peki hocam , Brute force için Yanıt kısmında ne gibi bir şey olması gerekir ?

Yanıt brute force'a göre bir şey yok

öncelikle http nedir, nasıl çalışır bunu bir öğren istiyorsan. Http request, reponse, response code bu üç başlığı iyice araştır. Şöyle düşün eğer bir kaynağa erişiliyorsa istek başarılıysa response 200 döner. Yani senin brute force da gönderdiğin bilgiler doğru ise başarılı giriş olacağından http reponse 200 code üretir. Eğer gönderdiğin bilgiler doğru değilse 302 response görmen doğaldır. Bilgiler hatalı olur, bu sebepten seni bulunduğun yere geri yönlendirir. Yani başarılıysa 200, başarısızsa 302 yanıtları ile karşılaşırsın brute force ataklarında.

METE _HAN · 14 Ara 2021

Pentester' Alıntı:
Yanıt brute force'a göre bir şey yok öncelikle http nedir, nasıl çalışır bunu bir öğren istiyorsan. Http request, reponse, response code bu üç başlığı iyice araştır. Şöyle düşün eğer bir kaynağa erişiliyorsa istek başarılıysa response 200 döner. Yani senin brute force da gönderdiğin bilgiler doğru ise başarılı giriş olacağından http reponse 200 code üretir. Eğer gönderdiğin bilgiler doğru değilse 302 response görmen doğaldır. Bilgiler hatalı olur, bu sebepten seni bulunduğun yere geri yönlendirir. Yani başarılıysa 200, başarısızsa 302 yanıtları ile karşılaşırsın brute force ataklarında.

Cevaplar için teşekkür ederim hocam

Bahsettiğiniz konuları araştıracağım kesinlikle

PHP Yazılım Güvenliği - Host Header Injection

Pentester

Özel Üye

DeathWarrior01

Uzman üye

Pentester

Özel Üye

green.php

Katılımcı Üye

METE _HAN

Katılımcı Üye

Toryy

Kıdemli Üye

Pentester

Özel Üye

METE _HAN

Katılımcı Üye

Pentester

Özel Üye

'The Wolf

Kıdemli Üye

P4$A

Uzman üye

Bahadır-Şad

Katılımcı Üye

METE _HAN

Katılımcı Üye

Pentester

Özel Üye

METE _HAN

Katılımcı Üye

Sosyal medya sayfalarımız