THT DUYURU

Web & Server Güvenliği Doğru web ve veritabanı sunucusu güvenliği sağlanmadan, bilgisayar korsanları hassas verilerinize erişebilir. Web, Sunucu ve veritabanı güvenliğini nasıl sağlayacağınızı buradan öğrenebilirsiniz.

chat
Seçenekler

CGI Vulnerability

Oğuz~#> - ait Kullanıcı Resmi (Avatar)
Forumdan Uzaklaştırıldı
Üyelik tarihi:
07/2009
Nereden:
Bursa
Yaş:
23
Mesajlar:
4.772
Konular:
1485
Teşekkür (Etti):
1877
Teşekkür (Aldı):
2499
Ticaret:
(0) %
03-06-2014 15:56
#1
CGI Vulnerability #
==================

Giriş - Basit Cgi Açıkları

==================

==================
Cgi Script Nedir?
==================

Cgi (Common Gateway Interface) Scriptler web sayfalarının,serverdaki açılabilir (executable) dosyaları kullanabilmesini sağlayan basit araçlardır.
Bu araçlar site yöneticilerine çeşitli kolaylıklar sağlar.Örneğin bir siteye girdiniz,sitede mesaj panosu gördünüz,formu doldurdunuz ve mesajınızı gönderdiniz,tekrar siteye
girdiğiniz zaman mesajınızın orada olduğunuda gördünüz,işte tüm bu işlemler bir script tarafından site yöneticisine ihtiyaç duymadan yapıldı.


=======================


Cgi-Scriptler Ne Kadar Güvenli?



=======================

Aslına bakarsanız bu oldukça karmaşık bir konu.Web sitelerinde bazı işleri yürütmek için Cgi-Script kullanmak uzun zamandır yaygın.Bu basit scriptleri
internet üzerinden çeşitli yerlerden edinebilirsiniz ancak bu scriptlerin güvenirliliği tartışılır.Basit Cgi-Scriptler belirli başlı güvenlik protokolleri gözden geçirilmeden
hazırlanmıştır ve sitenizde kullanmanız durumunda istemediğiniz sonuçlarla karşılaşabilirsiniz.Cgi-Scriptlerinin açıkları oldukça yaygındır.Kullandığını scriptin
güvenirliliği hakkında bilgi topladıktan sonra çalıştırmanız daha iyi olur.


===================


Korunmasız Cgi-Scriptleri


===================


Aşağıda internet sitesi indirmek için kullanabileceğiniz belirli başlı Cgi-Script açıklarını bulabilirsiniz.Cgi-Scriptler oldukça fazladır,benim burada size gösterdiklerim
sadece bir kısmı.



----------------------------


WebBBS Scriptleri



----------------------------

WebBBS - Bulletin Board System (Bildiri Tahtası Sistemi) Bu sistem yukarıda size örneklediğim gibi siteye mesaj atmak için kullanılır.
Bu sistem bünyesinde bu bildiri tahtalarına üye kimselerin kullanıcı adı/şifre kombinasyonlarını bulundurur.Böylelikle istediğiniz kişi adına
bildiri tahtasına mesaj gönderebilirsiniz.



Açık : http://www.hedefsite.com/cgi-bin/webBBS/profiles/ ya da http://www.hedefsite.com/cgi-bin/webBBS/users/
------------------------------



WebAdvert Scriptleri


------------------------------
WebAdverts (WebReklam) Bu scriptler sayesinde site yöneticisi sitede aldığı reklamları yayınlar.Her reklam için ayrı hesap vardır.
Bu açığı kullanarak kendi hazırladığınız bannerları sitede yayınlayabilirsiniz.Ayrıca diğer reklam verenlerin hesaplarını silmek ya da bannerlarını
değiştirmek elinizde.


Açık : http://www.hedefsite.com/cgi-bin/advert/adpassword.txt --> Şifrelerin bulunduğu .txt dosyası
Açık : http://www.foobar.com/cgi-bin/advert/ads_admin.pl --> Şifreleri bulduktan sonra site yöneticisi olarak buradan login olabilir ve içeriği değiştirebilirsiniz.


--------------------------------
WWWBoard Scriptleri

--------------------------------



WWWBoard da farklı bir Bildiri Tahtası Sistemidir.Çalışma tarzı WebBBS ile aynıdır.
Açık : http://www.hedefsite.com/cgi-bin/wwwebboard.txt
Açık : http://www.hedefsite.com/cgi-bin/wwwboard.txt
Açık : http://www.hedefsite.com/webboard/password.txt
-------------------------
Maillist Scriptleri
-------------------------

Bu script açıkları daha çok spam amaçlı kullanılır.Sitelerin e-posta listelerine üye olan kullanıcıların mail adreslerini bir txt dosyasında alabilirsiniz.
Açık : http://www.hedefsite.com/cgi-bin/mailman/addresses.txt
Açık : http://www.hedefsite.com/cgi-bin/maillist/addresses.txt
Açık : http://www.hedefsite.com/cgi-bin/mail/addresses.txt
Açık : http://www.hedefsite.com/cgi-bin/maillist/users.txt
=================================


Cgi Açıklarını Nasıl Bulabilirim?


=================================
Scriptler hakkında geniş bilginiz yoksa ve yukarıda örneklediğim türden belirli başlı açıkları bilmiyorsanız Cgi Zayıflık Tarayıcılarını kullanmanızı öneririm.
Çeşitli tarayıcılar var bu alanda,bir kısmını deniyebilirsiniz.Önemli olan tarayıcının bünyesinde bulundurduğu açık sayısı.Bu çok önemlidir.Bir tarayıcı bünyesinde
ne kadar çok açık bulundurursa o kadar şansınız artar.Tarayıcınızın güncelleme seçeneği varsa sık sık yenilemenizi öneriririm.Güncelleme seçeneği yoksa birden fazla
tarayıcı kullanmalısınız.Unutmamanız gereken en önemli nokta ise her bulduğunuz scripti hackliyemeyeceğiniz.

Size daha pratik bir yol daha söyliyeyim,Arabul Türkiye'nin kategorik indeksi - www.netbul.com gibi siteler kayıtlı olan web siteleri içerisinde her türlü kelimeyi arama özelliğine sahiptir.Bu
tip arama motorlarına ****crawler denir.Yabancı servis olarak size tavsiyem www.webcrawler.com ya da www.****crawler.com.

Örnek Aratabileceğiniz kelimeler;



cgi-bin
cgi-bin/örnek.pwd
cgi-bin/password.txt
cgi-bin/örnek.cfg
Konu Oğuz~#> tarafından (03-06-2014 16:02 Saat 16:02 ) değiştirilmiştir.

Bookmarks


« Önceki Konu | Sonraki Konu »
Seçenekler