THT DUYURU

Siber Güvenlik Soru ve Cevap Bu alanda sızma testi araçları hakkında sorular ve kariyer fırsatları konusunda paylaşımlar yapılabilir.

Seçenekler

Sql ve Xss açığı var mıdır?

mcode5 - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
03/2018
Mesajlar:
48
Konular:
14
Teşekkür (Etti):
22
Teşekkür (Aldı):
4
Ticaret:
(0) %
26-06-2018 09:24
#1
Sql ve Xss açığı var mıdır?
Cümleten selamın aleyküm. Konuyu yanlış yere açmış isem kusura bakmayınız. Bir sitede Xss açığı var mıdır diye kontrol ediyorum.

Site sonunda: php?q=<s c r i p t>alert("xss")</s c r i p t>
bu konu yapıştırıyorum ve bana sonuç olarak

bu : index.php?q=<s%20c%20r%20i%20p%20t>alert("xss")</s%20c%20r%20i%20p%20t>&lang=tr

sonuç geliyor. Şimdi bu sitede bir açık mevcut mudur ? Değil midir. Konuları inceliyorum ama anlayamadım.

Birde Sql açığı bulmaya çalışıyorum bir sitede. yazdığım kod /index.php?id=205%27'b ama sayfa normal açılıyor. Başka nasıl o sitede açık olup olmadığını anlayabilirim acaba?

Konuyla ilgili yardımlarınızı rica ediyorum. Şimdiden Cümleten Allah razı olsun inşaAllah

Selam ve Dua ile...!
--------------------- La Galibe İllallah.
Banjamen - ait Kullanıcı Resmi (Avatar)
Yardımsever
Üyelik tarihi:
09/2015
Mesajlar:
2.003
Konular:
111
Teşekkür (Etti):
603
Teşekkür (Aldı):
358
Ticaret:
(0) %
26-06-2018 09:34
#2
Merhaba

Acunetix Web Scanner ile web sitesinde zafiyet taraması yapabilirsiniz
---------------------
Vatan, bize kılıcımızın ekmeğidir.


mcode5 Teşekkür etti.
'Insider - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
10/2016
Nereden:
0.0.0.0/0
Mesajlar:
657
Konular:
65
Teşekkür (Etti):
262
Teşekkür (Aldı):
1200
Ticaret:
(0) %
26-06-2018 09:39
#3
Alıntı:
mcode5´isimli üyeden Alıntı Mesajı göster
Cümleten selamın aleyküm. Konuyu yanlış yere açmış isem kusura bakmayınız. Bir sitede Xss açığı var mıdır diye kontrol ediyorum.

Site sonunda: php?q=<s c r i p t>alert("xss")</s c r i p t>
bu konu yapıştırıyorum ve bana sonuç olarak

bu : index.php?q=<s%20c%20r%20i%20p%20t>alert("xss")</s%20c%20r%20i%20p%20t>&lang=tr

sonuç geliyor. Şimdi bu sitede bir açık mevcut mudur ? Değil midir. Konuları inceliyorum ama anlayamadım.

Birde Sql açığı bulmaya çalışıyorum bir sitede. yazdığım kod /index.php?id=205%27'b ama sayfa normal açılıyor. Başka nasıl o sitede açık olup olmadığını anlayabilirim acaba?

Konuyla ilgili yardımlarınızı rica ediyorum. Şimdiden Cümleten Allah razı olsun inşaAllah

Selam ve Dua ile...!
urlnin o şekilde değişmesi xss göstergesi değildir.
mcode5 Teşekkür etti.
'T0YB0X - ait Kullanıcı Resmi (Avatar)
Çaylak (Green Team)
Üyelik tarihi:
01/2017
Nereden:
Bursa
Mesajlar:
627
Konular:
67
Teşekkür (Etti):
245
Teşekkür (Aldı):
147
Ticaret:
(0) %
26-06-2018 09:39
#4
Url kısmına yazmış oldugun <s c r i p t>alert("xss")</s c r i p t> buradaki <s c r i p t> bu şekilde degil <script> şeklinde yani arada da boşluk olmadan yazman gerekir. aradaki boşluklar url de %20 şekli ile gösterir. Eğer xss varmı yok mu sorusuna gelicek olursak da sitede sana herhangi bir uyarı vermediyse xss açıgı yoktur.

buradan xss açıgına bakabilirsin.
---------------------


Vatan Şeref



mcode5 - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
03/2018
Mesajlar:
48
Konular:
14
Teşekkür (Etti):
22
Teşekkür (Aldı):
4
Ticaret:
(0) %
26-06-2018 09:53
#5
Alıntı:
Banjamen´isimli üyeden Alıntı Mesajı göster
Merhaba

Acunetix Web Scanner ile web sitesinde zafiyet taraması yapabilirsiniz
Teşekkür ederim. Deneyeceğim.

Manuel olarak tavsiye edeceğiniz yöntem ve konular var mıdır? Genellikle aynı sonuçlara ulaşıyorum da.
--------------------- La Galibe İllallah.
Banjamen - ait Kullanıcı Resmi (Avatar)
Yardımsever
Üyelik tarihi:
09/2015
Mesajlar:
2.003
Konular:
111
Teşekkür (Etti):
603
Teşekkür (Aldı):
358
Ticaret:
(0) %
26-06-2018 10:00
#6
Alıntı:
mcode5´isimli üyeden Alıntı Mesajı göster
Teşekkür ederim. Deneyeceğim.

Manuel olarak tavsiye edeceğiniz yöntem ve konular var mıdır? Genellikle aynı sonuçlara ulaşıyorum da.
Manuel olarak XSS açığını Search.php , form ve ya yorum yapılan yerlere js kodunu enjekte ediniz. Bunun dışında başka XSS açığı türleri var.
---------------------
Vatan, bize kılıcımızın ekmeğidir.


mcode5 - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
03/2018
Mesajlar:
48
Konular:
14
Teşekkür (Etti):
22
Teşekkür (Aldı):
4
Ticaret:
(0) %
26-06-2018 10:01
#7
yazdığım kod: php?q=<script>alert("xss")</script>

Verdiği hata : Page not found
We're sorry, but the page you requested cannot be found.

Açık var anlamına geliyor sanırım ? Varsa css açığının neresinde olduğunu nereden bilebilirim acaba ?
--------------------- La Galibe İllallah.
Banjamen - ait Kullanıcı Resmi (Avatar)
Yardımsever
Üyelik tarihi:
09/2015
Mesajlar:
2.003
Konular:
111
Teşekkür (Etti):
603
Teşekkür (Aldı):
358
Ticaret:
(0) %
26-06-2018 10:02
#8
Alıntı:
mcode5´isimli üyeden Alıntı Mesajı göster
yazdığım kod: php?q=<script>alert("xss")</script>

Verdiği hata : Page not found
We're sorry, but the page you requested cannot be found.

Açık var anlamına geliyor sanırım ? Varsa css açığının neresinde olduğunu nereden bilebilirim acaba ?

Maalesef eğer xss açığı olsa idi karşınıza yazdığınız yazıda ki "xss" tablosu çıkardı
---------------------
Vatan, bize kılıcımızın ekmeğidir.


mcode5 - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
03/2018
Mesajlar:
48
Konular:
14
Teşekkür (Etti):
22
Teşekkür (Aldı):
4
Ticaret:
(0) %
26-06-2018 10:05
#9
Alıntı:
Banjamen´isimli üyeden Alıntı Mesajı göster
Maalesef eğer xss açığı olsa idi karşınıza yazdığınız yazıda ki "xss" tablosu çıkardı
Bir sitede mutlaka ya sql de ya css' de mutlak bir açık olmalı diye tahmin ediyorum. Bunu manuel olarak en sağlam şekilde öğrenmemin hiçbir yolu yokmudur

html bir sitede şu kod ile denedim : html?q=<script>alert("xss")</script>

404 hatası verdi. Yani bir xss açığı var mıdır?
--------------------- La Galibe İllallah.
Konu Ceys tarafından (26-06-2018 12:21 Saat 12:21 ) değiştirilmiştir. Sebep: flood
REVO* - ait Kullanıcı Resmi (Avatar)
Tamamen Forumdan Uzaklaştırıldı
Üyelik tarihi:
12/2010
Mesajlar:
1.370
Konular:
157
Teşekkür (Etti):
25
Teşekkür (Aldı):
661
Ticaret:
(0) %
26-06-2018 10:16
#10
1.de URL değişip daha sonra (1) yazan bir pencere açılmıyorsa temizdir.
2.de blind(kör sql) varsa eğer resimde görüntülerde bozulma olur.
2.de sql varsa eğer syntax hatası verir.

Bookmarks


« Önceki Konu | Sonraki Konu »
Seçenekler