ºÝºÝߣ

ºÝºÝߣShare a Scribd company logo

Siber Güvenlik ve Etik Hacking Sunu - 11

•
•
Murat KARA
Murat KARA

Siber Güvenlik ve Etik Hacking Sunu - 11

1 of 10
WEB GÜVENLİĞİ SALDIRI VE SAVUNMA YÖNTEM-ARAÇLARI (TEMİZ KOD) 11. Hafta
Web • TCP/IP – Http protokolü • Web Server
HTTP Metodları Yöntem Açıklama GET Sunucudan bir kaynağı ister HEAD GET gibi kullanılır ama sadece Header getirir ve içerik getirmez POST Sunucuda bulunan verinin içeriğini değiştirmesini ister PUT Sunucuda bir kaynak yaratmasını veya başka kaynak ile değiştirmesini ister DELETE Sunucuda bulunan bir kaynağı silmesini ister CONNECT SSL bağlantıların HTTP bağlantıları içinden geçmesini sağlar OPTIONS Sunucudan bir kaynakla ilgili geçerli yöntemleri ister TRACE Sunucunun istek Header’larını geri göndermesini ister
HTTP Durum Kodları • 1xx: Bilgi mesajları. • 2xx: Başarılı istek yanıtları. • 3xx: İstemciyi başka bir kaynağa yönlendiren yanıtlar. • 4xx: Bir hata barındıran isteklere karşı üretilen yanıtlar. • 5xx: Sunucu tarafında istek karşılanmaya çalışılırken bir hata alındığına ilişkin yanıtlar. 404 Page not found
Http Header Bilgileri • Request – Cf-Connecting-Ip – Cookie – Accept-Language – Referer – Accept – User-Agent – Upgrade-Insecure-Requests – Cf-Visitor – X-Forwarded-Proto – Cf-Ray – X-Forwarded-For – Cf-Ipcountry – Accept-Encoding – Connection – Host • Response – Content-Base – Content-Length – Cache-Control – Content-Type – Date – eTag – Last-Modified – Location – Server – Set-Cookie – X-Powered-By – WWW-Authenticate – Connection Bir web sitesinin header bilgilerini görmek için; https://headers.cloxy.net/ adresinden yararlanılabilir.
Siber Güvenlik ve Etik Hacking Sunu - 11
Sunucu Teknolojileri • Scripting dilleri (PHP, VBScript, Perl) • Web uygulama platformları (ASP.NET, Java) • Web sunucuları (Apache, IIS, ngix) • Veritabanları (MS-SQL, Oracle, MySQL) • ve diğer destekleyici servislerdir (File Systems, SOAP tabanlı web servisleri, dizin servisleri) • İstemci gönderileri – URL sorgu string’leri – HTTP cookie’leri – POST metodu ile yapılan istek mesaj gövdeleri
Web Lab Uygulama Yazılımları • DVWA • Mutillidae • SQLol • Hackxor • The BodgeIt Store • Exploit KB / exploit.co.il Vulnerable Web App • WackoPicko • WebGoat • OWASP Hackademic Challenges Project • XSSeducation
Damn Vulnerable Web App (DVWA) • Web uygulama güvenliği alanında kendini geliştirmek isteyenler için PHP ile oluşturulmuş içinde belli web zafiyetlerini barındıran bir eğitim sistemidir. • Barındırdığı Zafiyetler: – Brute Force – Command Execution – CSRF – File Inclusion – SQL Injection – Upload – XSS Reflected – XSS Stored http://www.dvwa.co.uk/
DVWS Uygulamaları • Sanal makine Metasploitable2 • Firefox tarayıcısı

More Related Content

Siber Güvenlik ve Etik Hacking Sunu - 11

  • 1. WEB GÃœVENLİĞİ SALDIRI VE SAVUNMA YÖNTEM-ARAÇLARI (TEMÄ°Z KOD) 11. Hafta
  • 2. Web • TCP/IP – Http protokolü • Web Server
  • 3. HTTP Metodları Yöntem Açıklama GET Sunucudan bir kaynağı ister HEAD GET gibi kullanılır ama sadece Header getirir ve içerik getirmez POST Sunucuda bulunan verinin içeriÄŸini deÄŸiÅŸtirmesini ister PUT Sunucuda bir kaynak yaratmasını veya baÅŸka kaynak ile deÄŸiÅŸtirmesini ister DELETE Sunucuda bulunan bir kaynağı silmesini ister CONNECT SSL baÄŸlantıların HTTP baÄŸlantıları içinden geçmesini saÄŸlar OPTIONS Sunucudan bir kaynakla ilgili geçerli yöntemleri ister TRACE Sunucunun istek Header’larını geri göndermesini ister
  • 4. HTTP Durum Kodları • 1xx: Bilgi mesajları. • 2xx: BaÅŸarılı istek yanıtları. • 3xx: İstemciyi baÅŸka bir kaynaÄŸa yönlendiren yanıtlar. • 4xx: Bir hata barındıran isteklere karşı üretilen yanıtlar. • 5xx: Sunucu tarafında istek karşılanmaya çalışılırken bir hata alındığına iliÅŸkin yanıtlar. 404 Page not found
  • 5. Http Header Bilgileri • Request – Cf-Connecting-Ip – Cookie – Accept-Language – Referer – Accept – User-Agent – Upgrade-Insecure-Requests – Cf-Visitor – X-Forwarded-Proto – Cf-Ray – X-Forwarded-For – Cf-Ipcountry – Accept-Encoding – Connection – Host • Response – Content-Base – Content-Length – Cache-Control – Content-Type – Date – eTag – Last-Modified – Location – Server – Set-Cookie – X-Powered-By – WWW-Authenticate – Connection Bir web sitesinin header bilgilerini görmek için; https://headers.cloxy.net/ adresinden yararlanılabilir.
  • 7. Sunucu Teknolojileri • Scripting dilleri (PHP, VBScript, Perl) • Web uygulama platformları (ASP.NET, Java) • Web sunucuları (Apache, IIS, ngix) • Veritabanları (MS-SQL, Oracle, MySQL) • ve diÄŸer destekleyici servislerdir (File Systems, SOAP tabanlı web servisleri, dizin servisleri) • Ä°stemci gönderileri – URL sorgu string’leri – HTTP cookie’leri – POST metodu ile yapılan istek mesaj gövdeleri
  • 8. Web Lab Uygulama Yazılımları • DVWA • Mutillidae • SQLol • Hackxor • The BodgeIt Store • Exploit KB / exploit.co.il Vulnerable Web App • WackoPicko • WebGoat • OWASP Hackademic Challenges Project • XSSeducation
  • 9. Damn Vulnerable Web App (DVWA) • Web uygulama güvenliÄŸi alanında kendini geliÅŸtirmek isteyenler için PHP ile oluÅŸturulmuÅŸ içinde belli web zafiyetlerini barındıran bir eÄŸitim sistemidir. • Barındırdığı Zafiyetler: – Brute Force – Command Execution – CSRF – File Inclusion – SQL Injection – Upload – XSS Reflected – XSS Stored http://www.dvwa.co.uk/
  • 10. DVWS Uygulamaları • Sanal makine Metasploitable2 • Firefox tarayıcısı