İPUCU

Web & Server Güvenliği Doğru web ve veritabanı sunucusu güvenliği sağlanmadan, bilgisayar korsanları hassas verilerinize erişebilir. Web, Sunucu ve veritabanı güvenliğini nasıl sağlayacağınızı buradan öğrenebilirsiniz.

Seçenekler

Hedef Site Web Hacking “Hâkimlik” SessizKalpler/Stajyer Asistan

02-04-2017 15:31
#1
Üyelik tarihi:
01/2016
Nereden:
...
Mesajlar:
4.868
Teşekkür (Etti):
122
Teşekkür (Aldı):
944
Konular:
681
Ticaret:
(0) %
Hedef Site Web Hacking “Hâkimlik” SessizKalpler/Stajyer Asistan

Merhaba arkadaşlar ben SessizKalpler bu konumda sizlere Web Hacking konusunda hâkim bakış açısı ile neler yapabileceklerinizden bahsedeceğim. Vermiş olduğum bu bilgiler web hacking konusunda çok işinize yarayacak işlerinizi kolaylaştıracak. Bazı bilgileri bilmeniz gerçekten önemli, yapabilecek bir şeyler olduğuna kendinizi inandırmanız gerek, yoksa hiçbir noktada ilerleme kat edemezsiniz.

İlk olarak kendinize bir hedef site seçmeniz gerekli ben örnek olarak Google web sitesini seçiyorum.Hedef site ile ilgili bilgiler toplamanız gerekiyor bu bilgileri internetteki bazı araçlar vasıtasıyla toplayabilirsiniz ama öncelikle alan adı ile hosting adı verilen kavramlar arasındaki farkı kafamıza yerleştirmemizde gerçekten önemli bir noktadır.

Hosting: Web sayfalarının depo edildiği bölümdür bu bölümde sitenize ait dosyalar resimler dokümanlar veriler bulunur. Hosting de aslında serverlar da bölünerek ayrılmış olan bir kısımdır. Server maliyetli olduğundan satıcılar Hosting parçalarına ayırıp satmayı daha uygun bulurlar Web sayfanıza erişmeniz için hosting ya da sunucular tarafından sizlere bir ip adresi verilir ama ip adresi kullanıcılara yönelik akılda kalıcı olmadığı ve reklama hitap etmediğinden dolayı bunu kolaylaştıracak bir yöntem geliştirilmesi gereklidir işte bu durumda Alan adı kavramı ortaya çıkıyor.

Alan adı:Web sayfamızda www.siteismi.com gibi görülen subdomain isim ve uzantıdan oluşan 3 parçalı kısımdır. Bu parçalar arasında subdomain kısmı zorunlu değildir bu durumda alan adı 2 noktadan oluşuyor, “www” kısmı subdomain’dir site ismi kısmı sitenize hitap eden isimdir uzantısı da sitenizin kategorisine göre belirlenmiş veya sizin tarafınızdan seçilen. com, .org. gov vb 3 haneli kısımlardır.

Hosting alan adı ve server kavramlarını öğrenildiğinize göre konumuzda devam edelim. Genellikle saldırganlar hostinglerin ip adreslerine saldırır ip adreslerini gereksiz yere meşgul ederek siteye erişimi keser buda bir nevi bir saldırı şeklidir bu saldırıya “Ddost” adı verilir. Bunun dışında da birçok alanda ip adresini öğrenmemiz gerçekten önemlidir. İp adreslerini öğrenmemiz için çeşitli yöntemler bulunmaktadır ama kolaylık olsun diyerekten bu konumda web araçlarından örnekler vermeye çalışacağım.

https://www.site24x7.com/find-ip-address-of-web-site.html

Yukarda vermiş olduğum araca domain yani web sayfasının ismini yazarak sitemizin ip adresini öğrenebilirsiniz. Aşağıdaki görselden inceleyebilirsiniz.



İp adresimiz 172.217.26.4 şimdi bu adresi tarayıcıya yazıp girmeye çalışalım aynı şekilde girecektir. Şimdi başka bir noktadan devam edelim.

Name Server: Alan adı sorgulamalarında kullanılacak olan isim sunucularıdır. Name Server sunucuları karşıdaki ip adresine göre sorgulama yapar. İp adresine göre sunucuyu bulur kısaca Ns şeklinde gösterilir. Name server adreslerini öğrenmeniz Dns Hacking konusunda sizlere yardımcı olacaktır. Ns adreslerini öğrenmeniz için gerekli web aracını aşağıda görebilirsiniz.

DNS check tool

Yukarda verdiğim web sayfasını kullanabilirsiniz aşağıdaki resmide inceleyebilirsiniz.Ben facebook.com adresini sorgulattım mesela 2 adet kaydı bulunuyor a.ns.facebook.com/ b.ns.facebook.com adlı kayıtlar çıktı.Konumuza devam edelim


Whois sorgulaması bu sorgulama sayesinde web sayfasına ait bazı bilgileri görebilirsiniz. Bu bilgiler kayıt edilirken web sayfasının kurucusu tarafından verilmek zorundadır. Kurucusunun ismi satın alınan tarih yenilenme tarihleri telefon numarası birçok unsura ulaşabilirsiniz aynı şekilde sunucu bilgilerini de öğrenebilirsiniz aşağıya web sayfa linkini yazıyorum.

Whois, domain sorgulama, ip sorgulama, hosting, alan adı, alan barındırma

Bu web sayfasından araca ulaşabilirsiniz aşağıdaki görseli de inceleyebilirsiniz.


Bu kısmı da anladığınıza göre “Link Extractor” işleminde geçebiliriz adında anlayabileceğiniz gibi Türkçedeki kelime anlamı Link çıkarmadır buda saldırı faaliyetleriniz de size gerçekten yardımcı olacaktır görevi ise web sayfasındaki bütün linkleri tarayarak size sunar Doküman haline getirerek incelemenize olanak sağlar aşağıdaki web sayfasını inceleyebilirsiniz.

Link Extractor


Ben forumumuzu tarattırdım linkleri çıkardım aşağıdaki resmide inceleyebilirsiniz.


Buda tamamlandığına göre “WebArchive” adlı kavrama geçebiliriz bu kavramda saldırılarımızda bizlere yardımcı olacaktır. WebArchive internetteki web sayfalarını düzenli olarak tarayıp görüntüsünü alan bir nevi bot dur hedef siteyi incelememiz için güzel bir kaynak olabilir. Aşağıda linke basarak göz atabilirsiniz.

https://web.archive.org
Ben örnek olarak forumumuzu arattırdım resimde de belirli aralıkla görüntüsünün taratıldığını gözlemleyebilirsiniz.


Bir başka yöntemlerden biride web sayfasının dizinindeki erişebildiğiniz noktada bulunan dosyaları çekmek bunun için “Httrack” adı verilen yazılımı kullanabilirsiniz olurda yetkili kişi sunucunun yedeğini ana dizine koyarsa daha da işimize gelir. Onun dışında da işe yarayabilir dosyalar çekebilirsiniz programın indirme linkini ve görüntüsünü aşağıda paylaşıyorum.

https://www.httrack.com/


Bu resmi web sayfasından indirebilir program hakkında bilgiler edinebilirsiniz.


Önemli noktalardan biride web sayfamızın görünür kaynak kodlarını inceleyerek bir şeyler elde etmeye çalışabilirsiniz buda açık ararken saldırma yöntemleri arasında önemli bir rol oynar. Kaynak kodlarını bir çok tarayıcı kullanarak görme imkânınız var ben chrome’u baz alarak anlatıyorum. Kaynak kodlarını sağ tık yaparak Sayfa kaynağını görüntüle seçeneğine basarak veya Ctrl+U kısa yolunu kullanarak dilerseniz Url adresinin başına view-source: getirerek görebilirsiniz örnek olarak aşağıda formumuzun ana sayfasının görülebilir kaynak kodlarını gösterdim.


Bir başka inceleme yöntemlerinde biride chrome için geliştiricilere sunulmuş öğeyi denetle veya öğeyi incele olarak geçen seçenek diğer tarayıcılarda da bu özellik bulunmaktadır fakat ben şuan ki yazımda chrome adlı tarayıcıyı göz ardı ederek anlatıyorum. Bu seçeneğe sağ tık yapıp incele diyerek erişebilirsiniz veya kısayol tuşunu kullanabilirsiniz Ctrl+Shift+I bu özellik geliştiriciler için sunulmuş yüzeysel değişiklikler ve incelemeler yapmanız için kolaylık sağlayan bileşendir. Özellikle webmasterlara kolaylık sağlar. Bir aralar internete öğeyi denetle e okul not değiştir gibisinden az mı videolar gördük çoğumuz itiraf etsin ki öğeyi denetleyi bu şekilde öğrendi. Ben yanlışlıkla açıp telaşlandım o zamanlar korktum o başka bir konu Aşağıda görseli inceleyebilirsiniz içerisinde birçok seçenek bulunuyor ayrı bir makale bile yazılabilir.


Programlama dilinden anlayanlar içerisinde birçok kod dili barındırdığını fark edebilir bu arada forumumuzun vBulletin alt yapısından yapıldığını görmüş olduk.
Başka bir hususta web sayfalarında açık taraması yapılması bunun için sizlere bir programdan bahsedeceğim bunun dışında fazla ayrıntıya inmeye gerek yok bu da kendi kedine bir alan ve çok fazla konu ayrıntısı var. Programımızın ismi “Acunetix”


https://www.acunetix.com/

Yukarıda resmi web sayfasının linkini attım buradan inceleye bilir indirebilirsiniz koyduğunuz web sayfasındaki çeşitli açıkları tarar örnek vermek gerekirse Sql, Xss Csrf Ssrf Xsrf Javascript açıkları, bunlar kendi kendine bir şaheser hepsine ayrı ayrı kitaplar bile yazılır. Aşağıdaki resimde programın görüntüsünü inceleyebilirsiniz.


Web sayfamızın ismini yazıyoruz ve açığı tarayıp açığın derecesine göre bizlere bilgiler veriyor programın normalde ücretsiz bir şekilde demosu bulunuyor fakat formumuzda sınırsız bir şekilde bulabilirsiniz ama her zaman lisanslı yazılım kullanılmasını tavsiye ederim. Devam edelim efendim.

Her web sayfansın bir admin paneli vardır her ne kadar gizli olsa da yönetilmesi mümkün olan her web sayfasında bulunur bunu koymayana bir nevi eski kafalı deriz. Admin panelinin linki bulabilmemiz için forumumuzda gerekli programlar bulunur ben sizler için birkaç tanesinin linkini paylaşacağım Bu arada admin panelini bulupta ne yapacağız şifreyi bilmiyoruz diyenler için en basit şekilde bir brute force taraması yapabilirsiniz
.
http://www.turkhackteam.org/visual-basic/1173295-admin-paneli-bulucu-adminlist-ile-birlikte-amyroot.html

http://www.turkhackteam.org/c-j-vb-net-net-dilleri/1469112-pentester-admin-panel-bulucu-v1-0-a.html

http://www.turkhackteam.org/web-server-guvenligi/1359072-admin-paneli-bulucu-program-5-adet.html

Yukarıda programlara konulardan ulaşabilirsiniz programlar THT tarafından yapılmıştır internette bir çok çeşidi ve online tarama siteleri bulunmaktadır ama ben bizim elimizden geçmesini daha yararlı buluyorum başka kişiler içine zararlı bir takım şeyler koyabilir. Aşağıya örnek olarak ilk linkte verdiğim programın resmini koyuyorum ben ilk linkteki programı beğendim dilerseniz siz araştırabilirsiniz hepsi yararlı programlar.


En önemli noktalardan biride domain İp adresimiz üzerinden port taraması yapmamızıdır. Farklı portlar da işimize yarayan şeyler bulunabilir ssh, ftp, cpanel vb. Port taraması için tavsiye ettiğim Angry IP Scanner programı kullanabilirsiniz. Programı resmi web sayfasının linkidir web sayfasından indirebilir program ile ilgili bilgiler edinebilirsiniz. Programın kullanımı gayet basittir. İp adresine göre çeşitli portları deneyerek tarar. Aşağıdan programın görselini inceleyebilirsiniz.


Artık sona geldik, Buraya kadar Web sayfasını gördüğünüz zaman boş boş bakmak yerine neler yapabilmeklerinizden bahsettim. Her adımı kendi alanında araştırıp uzmanı olabilirsiniz. Hâkim olmak sizin için gerçekten önemlidir. Bu arada şimdiye kadar bir şey fark etmişsinizdir her adımımızda normalde kullanımı son derece zararsız olan ekipmanları ne kadarda kötü amaçlı kullanmaya çektik bilgiler topladık beklide hacking kavramını bu konudan sonra daha iyi anlamışsınızdır verdiğim yöntemler gerçekten işe yarayan uygulanması gereken adımlardır. Konumu uzatmadan sonlara doğru geleyim konu tarafımca yazılmış alıntı yapılmamıştır. Anlamadığınız noktalarda sorular sorabilirsiniz. Bu kadar yazdım bir teşekkürde güzel olabilir bir dahaki konumda görüşmek üzere kendinize iyi bakın iyi forumlar diler ve konumu burada noktalarım.


STAJYER ASİSTAN KULÜBÜ

Kullanıcı İmzası
.
Konu SessizKalpler tarafından (02-04-2017 15:35 Saat 15:35 ) değiştirilmiştir.
ANTROPİ, Cyhero, NoStopBoys, Redlion12 Teşekkür etti.

02-04-2017 16:00
#2
ANTROPİ - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
04/2016
Nereden:
root@kali:~#
Yaş:
88
Mesajlar:
6.053
Teşekkür (Etti):
3975
Teşekkür (Aldı):
1520
Konular:
174
Ticaret:
(0) %
Eline sağlık kardeşim yararlı yazı olmuş
02-04-2017 16:01
#3
Üyelik tarihi:
01/2016
Nereden:
...
Mesajlar:
4.868
Teşekkür (Etti):
122
Teşekkür (Aldı):
944
Konular:
681
Ticaret:
(0) %
Alıntı:
batuhan00000´isimli üyeden Alıntı Mesajı göster
Eline sağlık kardeşim yararlı yazı olmuş
Ne demek teşekkür ederim kardeşim
Kullanıcı İmzası
.
ANTROPİ Teşekkür etti.
02-04-2017 16:04
#4
Cyhero - ait Kullanıcı Resmi (Avatar)
Tamamen Forumdan Uzaklaştırıldı
Üyelik tarihi:
05/2016
Yaş:
27
Mesajlar:
815
Teşekkür (Etti):
711
Teşekkür (Aldı):
218
Konular:
75
Ticaret:
(0) %
Ellerine yüreğine sağlık.Devamını bekliyorum
02-04-2017 16:05
#5
Üyelik tarihi:
01/2016
Nereden:
...
Mesajlar:
4.868
Teşekkür (Etti):
122
Teşekkür (Aldı):
944
Konular:
681
Ticaret:
(0) %
Alıntı:
Cyhero´isimli üyeden Alıntı Mesajı göster
Ellerine yüreğine sağlık.Devamını bekliyorum
Gelecek gelecek hocam
Kullanıcı İmzası
.
02-04-2017 16:05
#6
NySky - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
03/2017
Nereden:
Grafikmania
Mesajlar:
672
Teşekkür (Etti):
118
Teşekkür (Aldı):
195
Konular:
35
Ticaret:
(0) %
Eline sağlık güzel konu.
Kullanıcı İmzası
❝☪⚝ᑎYᔕKY☪⚝❞
●▬▬▬▬๑۩۩๑▬▬▬▬▬●

Bιɾ Öʅϋɾ Bιɳ Dιɾιʅιɾιȥ


║▌║█║▌│║█║▌██

Grafik & Tasarım
°l||l°
02-04-2017 16:06
#7
Üyelik tarihi:
01/2016
Nereden:
...
Mesajlar:
4.868
Teşekkür (Etti):
122
Teşekkür (Aldı):
944
Konular:
681
Ticaret:
(0) %
Alıntı:
NySky´isimli üyeden Alıntı Mesajı göster
Eline sağlık güzel konu.
Eyw kardeşim.
Kullanıcı İmzası
.
02-04-2017 16:08
#8
osm4nl1evl4d1 - ait Kullanıcı Resmi (Avatar)
Tamamen Forumdan Uzaklaştırıldı
Üyelik tarihi:
03/2017
Nereden:
T Ü R K
Mesajlar:
4.256
Teşekkür (Etti):
791
Teşekkür (Aldı):
1005
Konular:
194
Ticaret:
(0) %
Eline sağlık yazı güzel olmuş
02-04-2017 16:09
#9
Üyelik tarihi:
01/2016
Nereden:
...
Mesajlar:
4.868
Teşekkür (Etti):
122
Teşekkür (Aldı):
944
Konular:
681
Ticaret:
(0) %
Alıntı:
osm4nl1evl4d1´isimli üyeden Alıntı Mesajı göster
Eline sağlık yazı güzel olmuş
Teşekkür ederim herzaman güzel yazı yazmaya çalışıyorum Elimden geldiğince.
Kullanıcı İmzası
.
02-04-2017 16:10
#10
NoStopBoys - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
02/2015
Mesajlar:
2.141
Teşekkür (Etti):
903
Teşekkür (Aldı):
721
Konular:
82
Ticaret:
(0) %
ellerine sağlık kardeşim
Kullanıcı İmzası
Bu Dünyadaki En Erdemli Hareket Sadakattir.

Bookmarks


« Önceki Konu | Sonraki Konu »
Seçenekler

Yetkileriniz
Sizin Yeni Konu Acma Yetkiniz var yok
You may not post replies
Sizin eklenti yükleme yetkiniz yok
You may not edit your posts

BB code is Açık
Smileler Açık
[IMG] Kodları Açık
HTML-Kodları Kapalı
Trackbacks are Kapalı
Pingbacks are Kapalı
Refbacks are Kapalı