THT DUYURU

Web & Server Güvenliği Doğru web ve veritabanı sunucusu güvenliği sağlanmadan, bilgisayar korsanları hassas verilerinize erişebilir. Web, Sunucu ve veritabanı güvenliğini nasıl sağlayacağınızı buradan öğrenebilirsiniz.

chat
Seçenekler

SSRF-XSPA Vulnerability

Balamir97 - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
01/2013
Nereden:
Nowhere
Yaş:
16
Mesajlar:
2.624
Konular:
240
Teşekkür (Etti):
338
Teşekkür (Aldı):
558
Ticaret:
(0) %
08-05-2017 04:56
#1
SSRF-XSPA Vulnerability
Öncelikle Selamun Aleyküm arkadaşlar,
Bugün sizlere Atlassian'da nasıl SSRF açığı bulduğuma değineceğim
SSRF Açılım Olarak:"Server Side Request Forgery" yani Türkçesiyle "Sunucu Taraflı İstek Sahteciliği"
anlamına gelir
XSPA ise SSRF açığını tespit etmek için bir unsurdur açılım Olarak:"Siteler arası port Saldırısı"
olarakta çevirilebilir.
SSRF İle neler yapılabilir?
1)Local dosyalar okunabilir
2)İşletim sistemi komutu gönderilebilir(nadiren)
3)Güvenlik açıklı sunucuyu kullanarak DOS atılabilir
4)Firewall engeli aşılabilir
5)RFI açığı uygulanabilir
vs.vs.

Bu güvenlik açığını tespit etmek için başka bir websitesin açık ve kapalı portlarından yardım aldım

Örneğin:
Yukarıdaki websitesinin adresi açık bir SSH port numarasıdır ve güvenlik açıklı siteden istek yapıldığı zaman bize SSH portu hakkında bilgiler verecektir.

Eğer güvenlik açıklı üzerinden başka bir siteye istek yaptığınızda(port numarası kapalı olan)

Size uyarı verecektir bu SSRF açığının olup olmadığını anlamanın yollarından birisidir.

Videoda websitesi bizden Başka bir URL üzerinden eklenti kurmamızı istiyordu bende buraya 22. portu açık olan bir websitesini test etmeyi denedim ve bana 22. portta Kullanmış olduğu SSH portu hakkında bilgiler verdi.

Eğer port numarası kapalı olan bir sitenin portu üzerinden istek yapmış olsaydım bana sadece hata verecekti.

Ancak açık port numaralı websitesi üzerinden istek yaptığım zaman hemen hata hemde port numarası hakkında bilgiler verdi.

Videonun kalitesi için kusra bakmayın.
Müsait olduğum bir zaman Exploiting işleminide değineceğim inşallah.

Video



---------------------

Think like a Coder
Deface like a Hacker
See like a Grapher

Marpuç+Tütün+Güzel olan herşey : Powerpuff Nargile
Konu Balamir97 tarafından (08-05-2017 04:59 Saat 04:59 ) değiştirilmiştir.
MyGf, TURKSTFN Teşekkür etti.
KurokoTetsuya - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
04/2015
Nereden:
SGA
Yaş:
21
Mesajlar:
5.060
Konular:
281
Teşekkür (Etti):
2330
Teşekkür (Aldı):
1552
Ticaret:
(0) %
08-05-2017 07:18
#2
Elinize sağlık, müsait zamanda videoyu izleyeceğim
--------------------- Başkasının en kesin dediği iş kesin yatıyo
MyGf - ait Kullanıcı Resmi (Avatar)
Researcher
Üyelik tarihi:
07/2016
Nereden:
Hall of Fame
Mesajlar:
3.283
Konular:
319
Teşekkür (Etti):
513
Teşekkür (Aldı):
1315
Ticaret:
(0) %
08-05-2017 07:34
#3
Eline sağlık. Videoyu inceleyeceğim
TURKSTFN - ait Kullanıcı Resmi (Avatar)
Özel Üye
Üyelik tarihi:
04/2013
Mesajlar:
23.298
Konular:
5521
Teşekkür (Etti):
244
Teşekkür (Aldı):
3139
Ticaret:
(0) %
08-05-2017 10:38
#4
Eline sağlık bro
--------------------- Turkhackteam dışında sosyal medya,forum ve gruplarda hesabım bulunmamaktadır .

Bookmarks


« Önceki Konu | Sonraki Konu »
Seçenekler