Sitenin loglarını nasıl çekebiliriz ?
- Konbuyu başlatan drilldods
- Başlangıç tarihi
Merhaba,
En basitinden örnek gösterecek olursak bunun için kök yetkiye ihtiyacınız var. Sitenin SQL injection veya giriş denetimi zafiyetleri varsa loglamalar kontrol edilebilir.
İyi Forumlar,
En basitinden örnek gösterecek olursak bunun için kök yetkiye ihtiyacınız var. Sitenin SQL injection veya giriş denetimi zafiyetleri varsa loglamalar kontrol edilebilir.
İyi Forumlar,
- 6 Ocak 2023
- 139
- 15
- Konbuyu başlatan
- #3
iyi forumlarda ben dandik siteyi napıcam ki mesale netflix logu istiyorum nasıl cekerim bi eşşeğe anlatırmış gibi anlatırmısn
Bunun için çok kapsamlı bir çalışma gerekiyor, Supply Chain Attack dediğimiz tedarik zinciri saldırılarından yararlanabilirsiniz.
Manuel testler uygulanması gerekiyor ve saldırı esnasında aşağıdaki soruların cevapları olması gerekiyor.
1. Hangi teknoloji yığını/diller kullanılıyor?
2. Uygulamayı çalıştıran server nedir?
3. Bir WAF (Web Uygulama Güvenlik Duvarı) var mı?
4. Hangi ek kütüphaneler kullanılıyor? Bu kütüphaneler için bilinen zafiyetler var mı? Özel JS kütüphaneleri var mı?
5. Kimlik doğrulama var mı? - Evet, Google/Facebook üzerinden OAuth
6. Hangi nesneler kullanılıyor?
7. Oturum işlemleri nasıl oluyor (Login & Register)?
8. Yararlı yorumlar var mı?
9. Özel karakterler nasıl işleniyor?
10. Herhangi bir hata mesajını tetikleyebilir misiniz?
11. Hangi ortak özellikler mevcut?
12. Bir kullanıcı nasıl tanımlanıyor?
13. Birden fazla kullanıcı rolü var mı?
14. Bir API var mı?
15. Bir İçerik Yönetim Sistemi var mı?
16. Bir İçerik Güvenlik Politikası var mı?
17. CORS (Çapraz Kaynak Paylaşımı) uygulanmış mı?
18. Captcha kullanılıyor mu?
19. WebSockets kullanılıyor mu?
20. Kaynak kodu herkese açık mı?
Belirttiğim gibi, bu çok kapsamlı bir çalışmadır. Manuel sorgulamaya hakim olmadan kök yetkiye ulaşmanız neredeyse imkansız olabilir.
Manuel testler uygulanması gerekiyor ve saldırı esnasında aşağıdaki soruların cevapları olması gerekiyor.
1. Hangi teknoloji yığını/diller kullanılıyor?
2. Uygulamayı çalıştıran server nedir?
3. Bir WAF (Web Uygulama Güvenlik Duvarı) var mı?
4. Hangi ek kütüphaneler kullanılıyor? Bu kütüphaneler için bilinen zafiyetler var mı? Özel JS kütüphaneleri var mı?
5. Kimlik doğrulama var mı? - Evet, Google/Facebook üzerinden OAuth
6. Hangi nesneler kullanılıyor?
7. Oturum işlemleri nasıl oluyor (Login & Register)?
8. Yararlı yorumlar var mı?
9. Özel karakterler nasıl işleniyor?
10. Herhangi bir hata mesajını tetikleyebilir misiniz?
11. Hangi ortak özellikler mevcut?
12. Bir kullanıcı nasıl tanımlanıyor?
13. Birden fazla kullanıcı rolü var mı?
14. Bir API var mı?
15. Bir İçerik Yönetim Sistemi var mı?
16. Bir İçerik Güvenlik Politikası var mı?
17. CORS (Çapraz Kaynak Paylaşımı) uygulanmış mı?
18. Captcha kullanılıyor mu?
19. WebSockets kullanılıyor mu?
20. Kaynak kodu herkese açık mı?
Belirttiğim gibi, bu çok kapsamlı bir çalışmadır. Manuel sorgulamaya hakim olmadan kök yetkiye ulaşmanız neredeyse imkansız olabilir.
Şimdi anlatalım fakat üstte ki mesajını tam olarak anlayamadım. Sizin şu an öğrenmek istediğiniz şey netflix, disney gibi hesapların nasıl ele geçirileceği mi yoksa bir sitenin logunu tutmak mı?
- 6 Ocak 2023
- 139
- 15
- Konbuyu başlatan
- #6
ele gecirbilceğim cünkü insanlar bazen cok para veriyor bu loglara yada canlı loglara filan
bir telegram botun kopyalama gibi bişey varmı
