Neler yeni

*Genel Site Açıkları ve Açıklamaları* (1 Viewer)

Arık Böke

Grafiker
majorrr
Mesajlar
356
Credits
0
####################
# Sql İnjection #
####################



Web uygulamaları web sitesini ziyaret eden kullanıcıların web tarayıcıları ile bir veritabanından veri görüntüleyebilmelerini sağlarlar. Veritabanları çoğu web sitesinde kullanılır ve ziyaretçilere spesifik bilgilerin sunulması için veri depolama amaçlı kullanılırlar. Kullanıcı bilgiler, finansal ve ödeme bilgileri, firma istatistikleri bir veritabanında bulunabilir ve hazır veya özel yazılmış uygulamalar ile erişilebilirler. SQL Injection, bir web uygulaması üzerinden arka plandaki veritabanında çalıştırılması için SQL komutlarının gönderilmesidir. Eğer web uygulamasında kullanıcı tarafından gelen tüm parametreler doğru olarak filtrelenmemişse saldırganlar tüm veritabanı içeriğini görebilir veya silebilirler. Login sayfaları, destek veya ürün istek formlar, yorum/iletişim formları, arama sayfaları, alışveriş sepeti sayfaları dinamik içeriğin sunulduğu çeşitli sayfalardır ve modern iş dünyasında müşteriler ile veya kullanıcılar ile haberleşmede vazgeçilmezdir. Bu tip web siteleri SQL Injection saldırılarından etkileniyor olabilir.


####################
# Xss #
####################



XSS Cross Site Scripting olarak bilinen web uygulamalarında mevcut olan çok
yaygın bir açıktır.XSS atak yapan kişinin zararlı kodlarını inject etmesine
dayananır.Kullanıcıya yönelik saldırı yapabiliriz.Sql açığı gibi servera degil.


####################
# Upload #
####################


Upload açığı adı üstünde upload açığıdır bu açık,dork ve exploit yardımıyla googlede dorku arar sitenin sonuna yapıştırırsınız ve jpg,png,txt,gif vs ekleyebilirsiniz.


####################
# Wakka-Wiki #
####################



Wakka Wiki Açığı Basit Bi Exploit İle Wakka Wiki Açığı Olan Sitenin Admin Paneline Direk Erişmemizi Ve Sitenin Wakka Wiki Açığı Olan Sayfasında Değişiklikler Yapmamızı Sağlar Ama Sitenin Ana Sayfasına Erişemeyiz. Upload Açığı Gibi Düşünün Aynı Sayılır..

####################
# Command İnjection #
####################



Command Injection, yani komut enjeksiyonu saldırganın zafiyet barındıran bir uygulama üzerinden hedef sistemde dilediği komutları çalıştırabilmesine denir. Komut ile kastedilen şey Windows’ta CMD ve Linux’ta Terminal pencerelerine girilen sistem komutlarıdır.
Literatürde Shell kodlaması diye de geçer. Command Injection saldırısı büyük oranda yetersiz input denetleme mekanizması nedeniyle gerçekleşmektedir.


####################
# LFI #
####################


LFI Siteye Uzaktan Dosya Dahil Etme Anlamına Gelir.


####################
# RFI #
####################



RFI Remote File Include'nin kısaltılmışıdır. Türkçe olarak Uzaktan Dosya Çağırma anlamına gelmektedir.
RFI Açığı sadece PHP sistemlerde bulunmaktadır. Çünkü RFI açığının mantığını oluşturan kodlar PHP'de bulunmaktadır.


####################
# CSRF #
####################



CSRF, “siteler arası istek sahteciliği” anlamında olup “Cross Site Request Forgering” deyiminin baş harflerinin kısaltılmış halidir. Saldırı, herhangi bir son kullanıcının, kullandığı uygulamada isteği dışında işlemler yaptırtılmasıyla gerçekleştirilir. CSRF saldırıları, “Sleeping-giant” yani uyuyan dev olarak adlandırılıyor, çünkü İnternet'te bulunan birçok sitede, bu saldırıya karşı herhangi bir koruma mevcut değildir, geliştiriciler ve web güvenlikçileri tarafından arka plana bırakılmış oluşturabileceği zaafiyetler önemsenmemiştir. Fakat, bu açıklığın bulunduğu bir site kolayca ortaya çıkarılıp çok kolay bir şekilde saldırı gerçekleştirilebilir ve sonuçları da ağır olabilir. CSRF, Daha önce yapılan farkındalık anketlerinde en az bilinen web saldırı çeşidi olarak karşımıza çıkmaktadır. Kullanıcıların İnternet banka hesabından para transferi, email hesabının ayarlarını değiştirme, e-posta gönderme CSRF saldırısı ile yapılabilecekler arasındadır. Buna karşın saldırıyı önlemek için uygulanması gereken teknikler de basittir


####################
# Os Command İnjection #
####################



Command Injection, yani komut enjeksiyonu saldırganın zafiyet barındıran bir uygulama üzerinden hedef sistemde dilediği komutları çalıştırabilmesine denir. Komut ile kastedilen şey Windows'ta CMD ve Linux'ta Terminal pencerelerine girilen sistem komutlarıdır. Literatürde Shell kodlaması diye de geçer. Command Injection saldırısı büyük oranda yetersiz input denetleme mekanizması nedeniyle gerçekleşmektedir.

####################
# Xpath İnjection #
####################



XPath tasarlanmış ve XML ile açıklanan verileri üzerinde çalışmak için geliştirilmiş bir dildir. XPath injection, bir saldırganın bu dili kullanan bir sorguda XPath elemanları enjekte etmesine olanak veriyor. Olası hedefleri Bazı yetkisiz bir şekilde bypass kimlik doğrulaması veya erişim bilgileri bulunmaktadır.

####################
# Ssrf #
####################




SSRF - Türkçe’de, Sunucu Yanlı İstek Sahteciliği saldırıları olarak çevirilir. SSRF açıklı sunuculardan intra- veya internete istek yaratmaktır. Mevcut URL şemaları tarafından desteklenmiş bir protokolü kullanarak, diğer protokollerde çalışan diğer sunucularla haberleşebilirsiniz.


####################
# RCE #
####################



Bu güvenlik açığı tüm türler arasında en tehlikelisidir ve genelde 10 üzerinden 10 ile derecelendirilir. Bulmak zordur. Komut çalıştırma açığı aranan scriptte, komut çalıştıran bi kod parçası olması gerekir haliyle. Bu yüzden bulmak zordur, çünkü çok gerekmedikçe webmasterlar kolay kolay komut çalıştıran kodlar yazmaz. Ancak her sistemin her katmanında bu tip açıklara rastlanabilir.​
 

Fexaius

ne adamsın yeaaa
kidemli152
Mesajlar
198
Credits
23
####################
# Sql İnjection #
####################



Web uygulamaları web sitesini ziyaret eden kullanıcıların web tarayıcıları ile bir veritabanından veri görüntüleyebilmelerini sağlarlar. Veritabanları çoğu web sitesinde kullanılır ve ziyaretçilere spesifik bilgilerin sunulması için veri depolama amaçlı kullanılırlar. Kullanıcı bilgiler, finansal ve ödeme bilgileri, firma istatistikleri bir veritabanında bulunabilir ve hazır veya özel yazılmış uygulamalar ile erişilebilirler. SQL Injection, bir web uygulaması üzerinden arka plandaki veritabanında çalıştırılması için SQL komutlarının gönderilmesidir. Eğer web uygulamasında kullanıcı tarafından gelen tüm parametreler doğru olarak filtrelenmemişse saldırganlar tüm veritabanı içeriğini görebilir veya silebilirler. Login sayfaları, destek veya ürün istek formlar, yorum/iletişim formları, arama sayfaları, alışveriş sepeti sayfaları dinamik içeriğin sunulduğu çeşitli sayfalardır ve modern iş dünyasında müşteriler ile veya kullanıcılar ile haberleşmede vazgeçilmezdir. Bu tip web siteleri SQL Injection saldırılarından etkileniyor olabilir.


####################
# Xss #
####################



XSS Cross Site Scripting olarak bilinen web uygulamalarında mevcut olan çok
yaygın bir açıktır.XSS atak yapan kişinin zararlı kodlarını inject etmesine
dayananır.Kullanıcıya yönelik saldırı yapabiliriz.Sql açığı gibi servera degil.


####################
# Upload #
####################


Upload açığı adı üstünde upload açığıdır bu açık,dork ve exploit yardımıyla googlede dorku arar sitenin sonuna yapıştırırsınız ve jpg,png,txt,gif vs ekleyebilirsiniz.


####################
# Wakka-Wiki #
####################



Wakka Wiki Açığı Basit Bi Exploit İle Wakka Wiki Açığı Olan Sitenin Admin Paneline Direk Erişmemizi Ve Sitenin Wakka Wiki Açığı Olan Sayfasında Değişiklikler Yapmamızı Sağlar Ama Sitenin Ana Sayfasına Erişemeyiz. Upload Açığı Gibi Düşünün Aynı Sayılır..

####################
# Command İnjection #
####################



Command Injection, yani komut enjeksiyonu saldırganın zafiyet barındıran bir uygulama üzerinden hedef sistemde dilediği komutları çalıştırabilmesine denir. Komut ile kastedilen şey Windows’ta CMD ve Linux’ta Terminal pencerelerine girilen sistem komutlarıdır.
Literatürde Shell kodlaması diye de geçer. Command Injection saldırısı büyük oranda yetersiz input denetleme mekanizması nedeniyle gerçekleşmektedir.


####################
# LFI #
####################


LFI Siteye Uzaktan Dosya Dahil Etme Anlamına Gelir.


####################
# RFI #
####################



RFI Remote File Include'nin kısaltılmışıdır. Türkçe olarak Uzaktan Dosya Çağırma anlamına gelmektedir.
RFI Açığı sadece PHP sistemlerde bulunmaktadır. Çünkü RFI açığının mantığını oluşturan kodlar PHP'de bulunmaktadır.


####################
# CSRF #
####################



CSRF, “siteler arası istek sahteciliği” anlamında olup “Cross Site Request Forgering” deyiminin baş harflerinin kısaltılmış halidir. Saldırı, herhangi bir son kullanıcının, kullandığı uygulamada isteği dışında işlemler yaptırtılmasıyla gerçekleştirilir. CSRF saldırıları, “Sleeping-giant” yani uyuyan dev olarak adlandırılıyor, çünkü İnternet'te bulunan birçok sitede, bu saldırıya karşı herhangi bir koruma mevcut değildir, geliştiriciler ve web güvenlikçileri tarafından arka plana bırakılmış oluşturabileceği zaafiyetler önemsenmemiştir. Fakat, bu açıklığın bulunduğu bir site kolayca ortaya çıkarılıp çok kolay bir şekilde saldırı gerçekleştirilebilir ve sonuçları da ağır olabilir. CSRF, Daha önce yapılan farkındalık anketlerinde en az bilinen web saldırı çeşidi olarak karşımıza çıkmaktadır. Kullanıcıların İnternet banka hesabından para transferi, email hesabının ayarlarını değiştirme, e-posta gönderme CSRF saldırısı ile yapılabilecekler arasındadır. Buna karşın saldırıyı önlemek için uygulanması gereken teknikler de basittir


####################
# Os Command İnjection #
####################



Command Injection, yani komut enjeksiyonu saldırganın zafiyet barındıran bir uygulama üzerinden hedef sistemde dilediği komutları çalıştırabilmesine denir. Komut ile kastedilen şey Windows'ta CMD ve Linux'ta Terminal pencerelerine girilen sistem komutlarıdır. Literatürde Shell kodlaması diye de geçer. Command Injection saldırısı büyük oranda yetersiz input denetleme mekanizması nedeniyle gerçekleşmektedir.

####################
# Xpath İnjection #
####################



XPath tasarlanmış ve XML ile açıklanan verileri üzerinde çalışmak için geliştirilmiş bir dildir. XPath injection, bir saldırganın bu dili kullanan bir sorguda XPath elemanları enjekte etmesine olanak veriyor. Olası hedefleri Bazı yetkisiz bir şekilde bypass kimlik doğrulaması veya erişim bilgileri bulunmaktadır.

####################
# Ssrf #
####################




SSRF - Türkçe’de, Sunucu Yanlı İstek Sahteciliği saldırıları olarak çevirilir. SSRF açıklı sunuculardan intra- veya internete istek yaratmaktır. Mevcut URL şemaları tarafından desteklenmiş bir protokolü kullanarak, diğer protokollerde çalışan diğer sunucularla haberleşebilirsiniz.


####################
# RCE #
####################



Bu güvenlik açığı tüm türler arasında en tehlikelisidir ve genelde 10 üzerinden 10 ile derecelendirilir. Bulmak zordur. Komut çalıştırma açığı aranan scriptte, komut çalıştıran bi kod parçası olması gerekir haliyle. Bu yüzden bulmak zordur, çünkü çok gerekmedikçe webmasterlar kolay kolay komut çalıştıran kodlar yazmaz. Ancak her sistemin her katmanında bu tip açıklara rastlanabilir.​
Süper paylaşım. Eline sağlık kardeşim...
 

Bu konuyu görüntüleyen kullanıcılar