WebSockets Güvenlik Açıklarının Testi
Bu bölümde, WebSocket mesajlarının ve bağlantılarının nasıl manipüle edileceğini ve bununla oluşabilecek bazı güvenlik açıklarını tanımlayacağız. WebSockets güvenlik açıklarını sömürmeyle alakalı örnekler vereceğiz.
WebSockets
WebSockets modern web uygulamalarında sıkça kullanılmaktadır. HTTP üstünden çalışırlar ve her iki yönde senkronize olmayan bir iletişim ile uzun ömürlü bağlantılar kurarlar.
WebSockets, kullanıcı eylemlerinin gerçekleştirilmesi ve hassas bilgilerin iletilmesini de içeren akla gelebilecek her türlü amaç için kullanılır. Normal HTTP ile ortaya çıkan hemen hemen tüm web güvenlik açıkları WebSockets iletişimleri ile de ortaya çıkabilir.
Okumaya devammm
Websocket nedir?
Lab'lar
WebSockets ile zaten haşır neşirseniz ve amacınız pratik yapmaksa direkt aşağıdaki linkten lablara erişebilirsiniz
WebSocket Trafiğini Kontrol Etme
WebSockets güvenlik açıklarını bulmak için uygulamanın beklemediği şekillerde onları manipüle etmek gerekir. Bunu Burp Suite kullanarak yapabilirsiniz.
Burp Suite'i şunlar için kullanabilirsiniz:
•WebSocket mesajlarını yakalayabilir ve değiştirebilirsiniz.
•Yeni WebSocket mesajlarını oluşturabilir ve tekrar oynatabilirsiniz.
•WebSocket bağlantılarını manipüle edebilir ve
WebSocket mesajlarını yakalayıp ve değiştirebilirsiniz.
Burp Proxy'yi websocket mesajlarını yakalayıp modifiye etmek için aşağıdaki gibi kullanabilirsiniz:
Burp'ün tarayıcısını açın.
WebSockets kullanan uygulama fonksiyonuna bakın. Uygulamayı kullanarak ve Burp Proxy'deki WebSockets geçmişi sekmesinde görünen girdileri arayarak WebSockets'in kullanıldığını belirleyebilirsiniz.
Burp Proxy'nin Engellenme sekmesinde, engellemenin açık olduğundan emin olun.
Tarayıcınızdan veya sunucunuzdan bir WebSocket mesajı gönderildiğinde, görüntülemeniz veya modifiye etmeniz için Intercept sekmesinde görüntülenecektir. Mesajı iletmek için İlet düğmesine basın.
Not:
Burp Proxy'de istemciden sunucuya veya sunucudan istemciye iletilerin durdurulup durdurulmayacağını yapılandırabilirsiniz. Bunu Ayarlar kısmından şöyle yapın: WebSocket durdurma kuralları ayarlarından halledin.
Kaynak: Testing for WebSockets security vulnerabilities | Web Security Academy
Bu bölümde, WebSocket mesajlarının ve bağlantılarının nasıl manipüle edileceğini ve bununla oluşabilecek bazı güvenlik açıklarını tanımlayacağız. WebSockets güvenlik açıklarını sömürmeyle alakalı örnekler vereceğiz.
WebSockets
WebSockets modern web uygulamalarında sıkça kullanılmaktadır. HTTP üstünden çalışırlar ve her iki yönde senkronize olmayan bir iletişim ile uzun ömürlü bağlantılar kurarlar.
WebSockets, kullanıcı eylemlerinin gerçekleştirilmesi ve hassas bilgilerin iletilmesini de içeren akla gelebilecek her türlü amaç için kullanılır. Normal HTTP ile ortaya çıkan hemen hemen tüm web güvenlik açıkları WebSockets iletişimleri ile de ortaya çıkabilir.
Okumaya devammm
Websocket nedir?
Lab'lar
WebSockets ile zaten haşır neşirseniz ve amacınız pratik yapmaksa direkt aşağıdaki linkten lablara erişebilirsiniz
WebSocket Trafiğini Kontrol Etme
WebSockets güvenlik açıklarını bulmak için uygulamanın beklemediği şekillerde onları manipüle etmek gerekir. Bunu Burp Suite kullanarak yapabilirsiniz.
Burp Suite'i şunlar için kullanabilirsiniz:
•WebSocket mesajlarını yakalayabilir ve değiştirebilirsiniz.
•Yeni WebSocket mesajlarını oluşturabilir ve tekrar oynatabilirsiniz.
•WebSocket bağlantılarını manipüle edebilir ve
WebSocket mesajlarını yakalayıp ve değiştirebilirsiniz.
Burp Proxy'yi websocket mesajlarını yakalayıp modifiye etmek için aşağıdaki gibi kullanabilirsiniz:
Burp'ün tarayıcısını açın.
WebSockets kullanan uygulama fonksiyonuna bakın. Uygulamayı kullanarak ve Burp Proxy'deki WebSockets geçmişi sekmesinde görünen girdileri arayarak WebSockets'in kullanıldığını belirleyebilirsiniz.
Burp Proxy'nin Engellenme sekmesinde, engellemenin açık olduğundan emin olun.
Tarayıcınızdan veya sunucunuzdan bir WebSocket mesajı gönderildiğinde, görüntülemeniz veya modifiye etmeniz için Intercept sekmesinde görüntülenecektir. Mesajı iletmek için İlet düğmesine basın.
Not:
Burp Proxy'de istemciden sunucuya veya sunucudan istemciye iletilerin durdurulup durdurulmayacağını yapılandırabilirsiniz. Bunu Ayarlar kısmından şöyle yapın: WebSocket durdurma kuralları ayarlarından halledin.
Kaynak: Testing for WebSockets security vulnerabilities | Web Security Academy
Moderatör tarafında düzenlendi: