Merhaba
Türkçe Güncel Kaynak Çok Az Olduğundan Ve Burda Hiç Paylaşılmamış Olduğundan Değinmek İstedim
SSL Nedir?
Taşıma Katmanı Güvenliği ve onun öncülü/selefi olan Güvenli Soket Katmanı, bilgisayar ağı üzerinden güvenli haberleşmeyi sağlamak için tasarlanmış kriptolama protokolleridir. Vikipedi
HTTP Public Key Pinning
İngilizceden çevrilmiştir-HTTP Genel Anahtar Sabitleme, HTTPS web sitelerinin, yanlış verilmiş veya başka şekilde sahte dijital sertifikalar kullanan saldırganlar tarafından kimliğe bürünmeye karşı direnmesine olanak tanıyan bir HTTP başlığı aracılığıyla sağlanan eski bir İnternet güvenlik mekanizmasıdır. Wikipedia (İngilizce)
SSL İLE ARASINDA FARK YOKTUR.
PEKİ SSL NEDEN ÇOK ÖNEMLİ?
SSL Pining yapılmış bir uygulamada arka planda yapılan tüm api/sorgu işlemlerini görüyoruz.
Yani instagram güncelleme attığı zaman çalışmayan "kurucu geçen script" "2factor kıran script" tarzı scriptleri yeniden kodlamak için bunlar lazım.
insta web de biliyorsunuz ki arka plandaki api işlemleri gözükmüyor, gözükse dahi ordan biz response (çıktı) alamayız.
bunun için emülatör e instagram uygulamasını yükleyip ssl sertifikasını burp suit programımıza çekmemiz lazım
bu sayede burp suit in bize verdiği proxy ve ssl i kullanan cihazlar nereye ne sorgu attığını görebiliyoruz
bu sayede instagrama giriş - şifre değiş - mail değiş - yeni 2factor koyma- bir profile girip o profil hakkında ilgi toplayabiliriz
çok az bir php bilgisi ile explode $bio, "@" yapıp gelen mail i bir listeye alabilirsiniz
mobilde önerilenler kısmı var bastığın zaman gelen sorguları kayıt altına alman yeterli bunu sonsuz döngüye alıp liste sayısını 1000 yaptığınız zaman şuan piyasada satılan oto mail toplayıcı , oto kurucu geçen scripti kendiniz yapmış oluyorsunuz.
tabiki bunun için iyi bir bilgisayara ve yeni iseniz çok iyi bir sabıra ihtiyacınız var.
elimizde türkçe kaynak çok az var ve bu işi yapan yabancılar da oldukca az
githubda bir arkdaş var instagram ssl pining yazınca güncel olarak paylaşıyor takibe alabilirsiniz
PEKİ BU SSL PİNİNG İŞİ NE KADAR KAZANÇLI?
burda instagram oto toplayıcı ve kurucu geçen script fiyatlarını bildiğiniz için bişey demicem (benim alanım olamdığından bilmiyorum)
gelelim benim alanıma benim alanımda anındapapara uygulamsı var
bu anında papara çok felaket para basıyor
fakat ne kadar aldıklarını bilmiyorum .
yatırılan tutarın %40 alsalar (ki hiç bir bahis şirketi bunu kabul etmez) biz %5 desek bile
kış ayları içerisinde ve sıradan hafta içi gününde (yani en min tutar) 1000€ 2000€ kazanıyorlar
yazın ve hafta sonunu saymıyorum
aldığım bu bilgi bets10 firmasına ait belki daha çok ama az değil
bu yüzden %5 alsa bile günde 100€ yapıyor bu güncel kur ile 1.624,03 Türk Lirası yapıyor sadece %5 ile
aylık 48.720 TRY yapıyor
fakat paparanın ssl pining ini öyle paylaşan büyük bir kahraman yok yani sadece bilenler yapıyor
zaman , sabır ve ram harcıyan bir iş fakat geliri yüksek
OTO SSL PİNİNG YAPTIĞINI İDDAA EDEN PROGRAMLAR GERÇEKMİ ?
güncel değil
Türkçe Kaynaklar var fakat verdikleri bilgiler ingilterede geçen 60 saniye türkiyede 1 dakikadır tarzında
YAZI BANA AİTTİR , İYİ FORUMLAR HERKESE
Önerebilceğim Video&Kaynaklar:
https://dl.packetstormsecurity.net/papers/general/sslpinning-bypss.pdf
https://blog.nviso.eu/2019/08/13/intercepting-traffic-from-android-flutter-applications/
netspi.com/blog/technical/mobile-application-penetration-testing/four-ways-bypass-android-ssl-verification-certificate-pinning/
Türkçe Güncel Kaynak Çok Az Olduğundan Ve Burda Hiç Paylaşılmamış Olduğundan Değinmek İstedim
SSL Nedir?
Taşıma Katmanı Güvenliği ve onun öncülü/selefi olan Güvenli Soket Katmanı, bilgisayar ağı üzerinden güvenli haberleşmeyi sağlamak için tasarlanmış kriptolama protokolleridir. Vikipedi
HTTP Public Key Pinning
İngilizceden çevrilmiştir-HTTP Genel Anahtar Sabitleme, HTTPS web sitelerinin, yanlış verilmiş veya başka şekilde sahte dijital sertifikalar kullanan saldırganlar tarafından kimliğe bürünmeye karşı direnmesine olanak tanıyan bir HTTP başlığı aracılığıyla sağlanan eski bir İnternet güvenlik mekanizmasıdır. Wikipedia (İngilizce)
SSL İLE ARASINDA FARK YOKTUR.
PEKİ SSL NEDEN ÇOK ÖNEMLİ?
SSL Pining yapılmış bir uygulamada arka planda yapılan tüm api/sorgu işlemlerini görüyoruz.
Yani instagram güncelleme attığı zaman çalışmayan "kurucu geçen script" "2factor kıran script" tarzı scriptleri yeniden kodlamak için bunlar lazım.
insta web de biliyorsunuz ki arka plandaki api işlemleri gözükmüyor, gözükse dahi ordan biz response (çıktı) alamayız.
bunun için emülatör e instagram uygulamasını yükleyip ssl sertifikasını burp suit programımıza çekmemiz lazım
bu sayede burp suit in bize verdiği proxy ve ssl i kullanan cihazlar nereye ne sorgu attığını görebiliyoruz
bu sayede instagrama giriş - şifre değiş - mail değiş - yeni 2factor koyma- bir profile girip o profil hakkında ilgi toplayabiliriz
çok az bir php bilgisi ile explode $bio, "@" yapıp gelen mail i bir listeye alabilirsiniz
mobilde önerilenler kısmı var bastığın zaman gelen sorguları kayıt altına alman yeterli bunu sonsuz döngüye alıp liste sayısını 1000 yaptığınız zaman şuan piyasada satılan oto mail toplayıcı , oto kurucu geçen scripti kendiniz yapmış oluyorsunuz.
tabiki bunun için iyi bir bilgisayara ve yeni iseniz çok iyi bir sabıra ihtiyacınız var.
elimizde türkçe kaynak çok az var ve bu işi yapan yabancılar da oldukca az
githubda bir arkdaş var instagram ssl pining yazınca güncel olarak paylaşıyor takibe alabilirsiniz
PEKİ BU SSL PİNİNG İŞİ NE KADAR KAZANÇLI?
burda instagram oto toplayıcı ve kurucu geçen script fiyatlarını bildiğiniz için bişey demicem (benim alanım olamdığından bilmiyorum)
gelelim benim alanıma benim alanımda anındapapara uygulamsı var
bu anında papara çok felaket para basıyor
fakat ne kadar aldıklarını bilmiyorum .
yatırılan tutarın %40 alsalar (ki hiç bir bahis şirketi bunu kabul etmez) biz %5 desek bile
kış ayları içerisinde ve sıradan hafta içi gününde (yani en min tutar) 1000€ 2000€ kazanıyorlar
yazın ve hafta sonunu saymıyorum
aldığım bu bilgi bets10 firmasına ait belki daha çok ama az değil
bu yüzden %5 alsa bile günde 100€ yapıyor bu güncel kur ile 1.624,03 Türk Lirası yapıyor sadece %5 ile
aylık 48.720 TRY yapıyor
fakat paparanın ssl pining ini öyle paylaşan büyük bir kahraman yok yani sadece bilenler yapıyor
zaman , sabır ve ram harcıyan bir iş fakat geliri yüksek
OTO SSL PİNİNG YAPTIĞINI İDDAA EDEN PROGRAMLAR GERÇEKMİ ?
güncel değil
Türkçe Kaynaklar var fakat verdikleri bilgiler ingilterede geçen 60 saniye türkiyede 1 dakikadır tarzında
YAZI BANA AİTTİR , İYİ FORUMLAR HERKESE
Önerebilceğim Video&Kaynaklar:
https://blog.nviso.eu/2019/08/13/intercepting-traffic-from-android-flutter-applications/
netspi.com/blog/technical/mobile-application-penetration-testing/four-ways-bypass-android-ssl-verification-certificate-pinning/