Web for Pentester 2 – Randomness Issues Çözümleri

Bu yazımda Web for Pentester 2’nin Randomness Issues çözümlerini elimden geldiğince anlatmaya çalışacağım. Geliştirici tarafından uygulanan kısıtlı Random değerlerin nasıl kötü niyetli kişilerce keşfedilebileceğini ve kullanılacağını da görmüş olacağız. Example 1 İlk örneğimizi açtığımızda bize sistemde bulunan bir kullanıcının kullanıcı adı ve parolasını veriyor. Hemen alttada bu kullanıcının nasıl oluşturulduğuna dair …

InnoveraBT Acelab Staj Sınavı Çözümleri

Bu sene InnoveraBT Acelab projesi için bir staj programı açtı. Başvuru içinse ne form ne de başka bir şey doldurulmasını istedi. Sadece hazırladığı üç aşamalı problemi bizden çözmemizi bekledi. İşin sonunda karşımıza bir e-posta adresi çıkacak ve çözümlerimizi bu adrese gönderecektik. Hadi macera başlasın! 🙂 Aşama 1 Maceramızın ilk adımı …

Web for Pentester 2 – Mass-Assignment Çözümleri

Web for Pentester 2 test ortamının Mass-Assignment çözümleri ile maceramıza devam ediyoruz. Example 1 Örneği açtığımızda kullanıcı ekleme sayfasıyla karşılaşıyoruz. Hemen Username:hacker Password:123 diyerek kullanıcı eklemeye çalışıyoruz. Kullanıcı ekleme işleminin yetkili bir kullanıcıyla yapılabildiğini öğreniyoruz. URL inceleyelim.. http://192.168.56.101/massassign/example1/signup?user%5Busername%5D=hacker&user%5Bpassword%5D=123&submit=Gönder Encode edilmiş karakterleri decode ederek paramatrelere göz atalım. user[username]=hacker&user[password]=123 Bu tip bir istekte …

Web for Pentester 2 – Captcha Çözümleri

PentesterLab Web for Pentester 2 Captcha bölümü çözümlerini bu yazıda elimden geldiğince anlatmaya çalışacağım. Sırasıyla gidelim.. Example 1 İlk örnekte karşımızda bir Captcha doğrulama ekranı geliyor. Burada doğru-yanlış değerler göndererek request-response’ları inceliyoruz. Daha kolay test yapabilmek için ben Burp Suite aracını kullanıyorum. GET metodu ve “captcha” parametresi ile bir değer …

Web for Pentester 2 – Authentication Çözümleri

PentesterLab’ın hazırladığı Web for Pentester 2 deney ortamının Authentication çözümlerini elimden geldiğince anlatmaya çalışacağım. Sırasıyla başlayalım.. Example 1 Telnet ile 192.168.56.102/authentication/example1 adresine HTTP request yaptığımızda header bilgisinden Auth yöntemi olarak “Basic” kullanıldığını görüyoruz. realm parametresinde “Username is admin, now you need to guess the password” diye bir açıklama belirterek bize kullanıcı adı …

Android Çalışma Anında İzin Alma (Runtime Permissions)

Merhaba, bu yazımızda Android 6.0’dan itibaren getirilen çalışma anında(veya çalışma zamanında) izin alma konusundan bahsedeceğim. Eğer son günlerde uygulamalara göz atarsanız hep ihtiyacı olduğu anda sizden izin istiyor. Google artık anlamış olmalı ki eski izin sistemi pek güvenli değil. Neden diyecek olursanız eskiden uygulamayı marketten indirirken sadece izinler listeleniyor ve …