Sızma Testleri Web Pentesting Sunucuya Nmap Atma

Babo1945

Babo1945

Üye
8 Tem 2020
165
44
Dardayım
Herkese merhaba,
ben bir siteyi pentest edeceğim nmap kullanmak istiyordum fakat ip adresini yazıp gittiğim zaman bir hosting'e gidiyorum. Örneğin:

ping ahmet.com
IP (19.20.21.22)

Bu ip'ye gittiğim zamanda karşıma bazı hostingler çıkıyor. Ben bu şekildeki sitelere nasıl pentesting yapabilirim, nmap atabilirim veya nasıl yaklaşmam lazım yardımcı olursanız sevinirim.

Örnekler:
72.52.140.220
-
64 bytes from 43.225.108.208.rdns.icorehosting.com (43.225.108.208)
-
64 bytes from 8.137.229.23.host.secureserver.net (23.229.137.8)
 
Çözüm
B
Nmap aracı bu işin bir adımıdır. Nmap e gelene kadar izlemen gereken farklı adımlarda mevcut.
Hedef siteyi önce manuel olarak incele kullanıcıların işlem yapabildikleri sayfaları incele. Buralarda manuel olarak, "bu sayfada belki şu zafiyet vardır" dediğin zafiyetleri dene.

Ardından Subdomain tespit toollarını kullanarak, sitenin subdomainlerine bak. Burada ki sitelerden de bişey yakalayıp ilerleyebilirsin çünkü.

Sitedin Whois bilgilerini sorgula, ondan sonra sitede Waf var mı yok mu wafw00f aracıyla kontrol et. Nmap taraması yap. Sitede WAF varsa gerçek IP adreside gizlidir. Bu tarz gizlenmiş bilgilere ulaşmak için WAF bypass methodlarını incele.

Sonra site hakkında elinde ki bütün bilgileri topla. Sitede zafiyet olabileceğini...
Tarihe göre sırala Oylara göre sırala
B

ByFelez

Uzman üye
9 Tem 2013
1,818
1,774
Nmap aracı bu işin bir adımıdır. Nmap e gelene kadar izlemen gereken farklı adımlarda mevcut.
Hedef siteyi önce manuel olarak incele kullanıcıların işlem yapabildikleri sayfaları incele. Buralarda manuel olarak, "bu sayfada belki şu zafiyet vardır" dediğin zafiyetleri dene.

Ardından Subdomain tespit toollarını kullanarak, sitenin subdomainlerine bak. Burada ki sitelerden de bişey yakalayıp ilerleyebilirsin çünkü.

Sitedin Whois bilgilerini sorgula, ondan sonra sitede Waf var mı yok mu wafw00f aracıyla kontrol et. Nmap taraması yap. Sitede WAF varsa gerçek IP adreside gizlidir. Bu tarz gizlenmiş bilgilere ulaşmak için WAF bypass methodlarını incele.

Sonra site hakkında elinde ki bütün bilgileri topla. Sitede zafiyet olabileceğini düşündüğün URL leri önce manuel olarak sen test et güvenlik açıklarını bulmayı dene.

Sonra bide zafiyet tarama araçlarına bu url yi gir araçlarda baksın. Araçların sayfada bulduğu zafiyetleri araştır. Bu zafiyetleri tespit etmek içni methodları araştır.
 
Oyla 0 Downvote
Çözüm
Babo1945

Babo1945

Üye
8 Tem 2020
165
44
Dardayım
ByFelez' Alıntı:
Nmap aracı bu işin bir adımıdır. Nmap e gelene kadar izlemen gereken farklı adımlarda mevcut.
Hedef siteyi önce manuel olarak incele kullanıcıların işlem yapabildikleri sayfaları incele. Buralarda manuel olarak, "bu sayfada belki şu zafiyet vardır" dediğin zafiyetleri dene.

Ardından Subdomain tespit toollarını kullanarak, sitenin subdomainlerine bak. Burada ki sitelerden de bişey yakalayıp ilerleyebilirsin çünkü.

Sitedin Whois bilgilerini sorgula, ondan sonra sitede Waf var mı yok mu wafw00f aracıyla kontrol et. Nmap taraması yap. Sitede WAF varsa gerçek IP adreside gizlidir. Bu tarz gizlenmiş bilgilere ulaşmak için WAF bypass methodlarını incele.

Sonra site hakkında elinde ki bütün bilgileri topla. Sitede zafiyet olabileceğini düşündüğün URL leri önce manuel olarak sen test et güvenlik açıklarını bulmayı dene.

Sonra bide zafiyet tarama araçlarına bu url yi gir araçlarda baksın. Araçların sayfada bulduğu zafiyetleri araştır. Bu zafiyetleri tespit etmek içni methodları araştır.
Genişletmek için tıkla ...
tamamdır teşekkür ederim
 
Oyla 0 Downvote
Üst

Turkhackteam.org internet sitesi 5651 sayılı kanun’un 2. maddesinin 1. fıkrasının m) bendi ile aynı kanunun 5. maddesi kapsamında "Yer Sağlayıcı" konumundadır. İçerikler ön onay olmaksızın tamamen kullanıcılar tarafından oluşturulmaktadır. Turkhackteam.org; Yer sağlayıcı olarak, kullanıcılar tarafından oluşturulan içeriği ya da hukuka aykırı paylaşımı kontrol etmekle ya da araştırmakla yükümlü değildir. Türkhackteam saldırı timleri Türk sitelerine hiçbir zararlı faaliyette bulunmaz. Türkhackteam üyelerinin yaptığı bireysel hack faaliyetlerinden Türkhackteam sorumlu değildir. Sitelerinize Türkhackteam ismi kullanılarak hack faaliyetinde bulunulursa, site-sunucu erişim loglarından bu faaliyeti gerçekleştiren ip adresini tespit edip diğer kanıtlarla birlikte savcılığa suç duyurusunda bulununuz.