Bir Sitenin Açığı Nasıl Bulunur?
Soru: siteadi.com Sitesinin Açığı Olup Olmadığını Nasıl Anlarım?
Cevap:
Arkadaşlar Soruda’da Olduğu Gibi Karşımızda Bir Hedef Site Görülmektedir. Hedefe Yönelik Araştırmalar Yaparken "Program, S c r i pt vb" Yazılımlar Kullanmayın. Yine Bize Gelen Sorularda Çok Rastlıyoruz (Bilmem ne Scanner İle Tarattım Bu Sonuçları Aldım Ne Yapabilirim?) Gibi En İyi Açık Tesbitini Manuel "Elle" Olarak Yaparsınız ve Kesin Sonuçlar Alırsınız. Sonuç Olumsuz Dahi Olsa Programın Bulduğunu Abuk Sabuk Kodlara Kafanız Takılmamış Olur.
Şimdi Manuel "Elle" Olarak Nasıl Açık Tebitini Yaparız Bunu Anlatalım.
www.siteadi.com Adresine Girdik, İlk Tesbit Etmemiz Gereken Şey Sitenin Hangi DildeKodlandığı Yani; Asp, Php, Html vs.
Bu Gundi Site Hangi Dili Kullanmış Nasıl Anlarız?
Bu Kısım İşin Kolay Kısmı, Tecrübeli Kişisel Daha Siteye Girer Girmez Anlar, Ancak Döküman Temel Giriş Olduğu İçin Biraz Örneklendirelim.
www.siteadi.com/index.asp Yazdık Sayfa Görntülenemiyor Dedi,
www.siteadi.com/index.html Yazdık Yine Sayfa Görüntülenemiyor Dedi,
www.siteadi.com/index.php Yaptık Ana Sayfa Geldi.
Demekki Sitenin Dili Php Diyoruz, Yada Site Deki Linklerden Birine Tıklıyoruz. Mesela İletişim Linkine Tıkladık.
www.siteadi.com/contack.php Sayfası Açıldı. Yine Anlıyoruzki Php Bir Site.
İkinci Aşama Sitenin Scriptini Bulmak, Genellikle Sitelerin En Altında Yazar. Powered By Gundi S c r i ptV1.2 Gibi.
Yine S c r i pt Bulma İşini Tecrübeli Arkadaşlar, Girer Girmez Anlayabilir. Biz Tecrübeli Arkadaşları Ayrı Bir Reyona Alıp Yeni Başlayanlara Anlatmaya Devam Edelim.
Acaba Bu Sitenin Kullandığı S c r i pt’te Daha Önce Açık Tesbit Edilmişmi Önce Ona Bakalım.
Kaynaklar;
www.google.com
www.securityfocus.com
Gibi Sitelerde Aratıyoruz. Tesbit Edilmiş Açık Varsa Bunları Hedef Sitede Deniyoruz. Diyelimki Daha Önce Tesbit Edilen Açıklar Sitede İşe Yaramıyor. Açık Kapatılmış Olabilir, Açığın Olduğu Sürümle Hedef Sitemizin Sürümü Uyuşmaya Bilir Vs.
Biz Manuel Takılmaya Devam Edelim.
Şimdi’de Site Scriptini Download Edip Kodlara Bakalım. Kodlar İçinde Açık Tesbiti Yapabiliriz. Ben Yeniyim Koddan Anlamam Demeyeceğinizi Biliyorum CW de Yığınla Döküman Var Okuyup Öğreneceksiniz. Konu Altına Örnek Olması İçin Link Ekleyecem, Siz Daha Kapsamlı Araştırın.
Site Scriptini Bulmak Zor Birşey Değil, Google Amca Size Destek Olacaktır.
Diyelimki, Scripti İndirdik turkishajan'dan Araştırdığımız Dökümanlardan’da Faydalandık ve Yine Açık Bulamadık. One Minute.
Birazda Logger Kullanarak Heyk Yapan Heykırların Kulaklarını Çınlatalım, Yine Cw De Bir Çok Arkadaşımızın Paylaştığı Loggerler Mevcut. Site Adminine Logger Yedirerek Amacımıza Ulaşa Biliriz.
Siz Bu Yönteme Başvurmayın Örnek Olsun Diye Söyledim Ben.
Bu Siteden Gerçekten Çok Sıkıldım Bi Türlü Açık Çıkmıyor Döküman Uzadıkca Uzuyor Birazda Serverini Araştıralım.
http://searchy.protecus.de/search/re....php?q=xxx.com
Adresine Giriyoruz Ve Serverdeki Siteler Karşımıza Geliyor. Yukarıda Denediğimiz Yöntemleri Serverdeki Siteler Üzerinde Deneyerek Herhangi Birinden Servere Bağlanmaya Çalışacağız.
Örnek: xyx.com Da Açık Bulduk, Shell Attık ve Serverdeyiz. Daha Önce Shell Konusunda’da Bahsetmiştim Shell İle İlgili Bi Sıkıntımız Yok.
Burada Yapmamız Gerekenler, Serverde Geçiş varsa Geçiş Yapmak, Yoksa Serveri Rootlamak. Hem Geçişle, Hemde Rootla İlgili Konularda Güzide Sitemizde Mevcut.
Arkadaşlar Yukarıda Bahsettiğim Konular Klasik Her Hedef Üzerinde Yapılan, Denenen Yöntemlerden Bazılarıdır. Gelen Soruya "Sitenin Scriptine Bak, Serverine Bak, Şuyuna bak, Buyuna Bak. Diye İşin Kolayınada Kaçabilirdim Ama Hiç Değilse İki Satır Birşeyler Karalayayım Dedim. Döküman Daha Kapsamlıda Olabilirdi Vakit Darlığında Anca Bu Kadar Çıktı.
Sitemizin Arama Kısmını Kullanarak, Veya Konu Altına Aklınıza Takılan Yerleri Sorarak Dökümanı El Birliğiyle Genişletebiliriz.
Cevap:
Arkadaşlar Soruda’da Olduğu Gibi Karşımızda Bir Hedef Site Görülmektedir. Hedefe Yönelik Araştırmalar Yaparken "Program, S c r i pt vb" Yazılımlar Kullanmayın. Yine Bize Gelen Sorularda Çok Rastlıyoruz (Bilmem ne Scanner İle Tarattım Bu Sonuçları Aldım Ne Yapabilirim?) Gibi En İyi Açık Tesbitini Manuel "Elle" Olarak Yaparsınız ve Kesin Sonuçlar Alırsınız. Sonuç Olumsuz Dahi Olsa Programın Bulduğunu Abuk Sabuk Kodlara Kafanız Takılmamış Olur.
Şimdi Manuel "Elle" Olarak Nasıl Açık Tebitini Yaparız Bunu Anlatalım.
www.siteadi.com Adresine Girdik, İlk Tesbit Etmemiz Gereken Şey Sitenin Hangi DildeKodlandığı Yani; Asp, Php, Html vs.
Bu Gundi Site Hangi Dili Kullanmış Nasıl Anlarız?
Bu Kısım İşin Kolay Kısmı, Tecrübeli Kişisel Daha Siteye Girer Girmez Anlar, Ancak Döküman Temel Giriş Olduğu İçin Biraz Örneklendirelim.
www.siteadi.com/index.asp Yazdık Sayfa Görntülenemiyor Dedi,
www.siteadi.com/index.html Yazdık Yine Sayfa Görüntülenemiyor Dedi,
www.siteadi.com/index.php Yaptık Ana Sayfa Geldi.
Demekki Sitenin Dili Php Diyoruz, Yada Site Deki Linklerden Birine Tıklıyoruz. Mesela İletişim Linkine Tıkladık.
www.siteadi.com/contack.php Sayfası Açıldı. Yine Anlıyoruzki Php Bir Site.
İkinci Aşama Sitenin Scriptini Bulmak, Genellikle Sitelerin En Altında Yazar. Powered By Gundi S c r i ptV1.2 Gibi.
Yine S c r i pt Bulma İşini Tecrübeli Arkadaşlar, Girer Girmez Anlayabilir. Biz Tecrübeli Arkadaşları Ayrı Bir Reyona Alıp Yeni Başlayanlara Anlatmaya Devam Edelim.
Acaba Bu Sitenin Kullandığı S c r i pt’te Daha Önce Açık Tesbit Edilmişmi Önce Ona Bakalım.
Kaynaklar;
www.google.com
www.securityfocus.com
Gibi Sitelerde Aratıyoruz. Tesbit Edilmiş Açık Varsa Bunları Hedef Sitede Deniyoruz. Diyelimki Daha Önce Tesbit Edilen Açıklar Sitede İşe Yaramıyor. Açık Kapatılmış Olabilir, Açığın Olduğu Sürümle Hedef Sitemizin Sürümü Uyuşmaya Bilir Vs.
Biz Manuel Takılmaya Devam Edelim.
Şimdi’de Site Scriptini Download Edip Kodlara Bakalım. Kodlar İçinde Açık Tesbiti Yapabiliriz. Ben Yeniyim Koddan Anlamam Demeyeceğinizi Biliyorum CW de Yığınla Döküman Var Okuyup Öğreneceksiniz. Konu Altına Örnek Olması İçin Link Ekleyecem, Siz Daha Kapsamlı Araştırın.
Site Scriptini Bulmak Zor Birşey Değil, Google Amca Size Destek Olacaktır.
Diyelimki, Scripti İndirdik turkishajan'dan Araştırdığımız Dökümanlardan’da Faydalandık ve Yine Açık Bulamadık. One Minute.
Birazda Logger Kullanarak Heyk Yapan Heykırların Kulaklarını Çınlatalım, Yine Cw De Bir Çok Arkadaşımızın Paylaştığı Loggerler Mevcut. Site Adminine Logger Yedirerek Amacımıza Ulaşa Biliriz.
Siz Bu Yönteme Başvurmayın Örnek Olsun Diye Söyledim Ben.
Bu Siteden Gerçekten Çok Sıkıldım Bi Türlü Açık Çıkmıyor Döküman Uzadıkca Uzuyor Birazda Serverini Araştıralım.
http://searchy.protecus.de/search/re....php?q=xxx.com
Adresine Giriyoruz Ve Serverdeki Siteler Karşımıza Geliyor. Yukarıda Denediğimiz Yöntemleri Serverdeki Siteler Üzerinde Deneyerek Herhangi Birinden Servere Bağlanmaya Çalışacağız.
Örnek: xyx.com Da Açık Bulduk, Shell Attık ve Serverdeyiz. Daha Önce Shell Konusunda’da Bahsetmiştim Shell İle İlgili Bi Sıkıntımız Yok.
Burada Yapmamız Gerekenler, Serverde Geçiş varsa Geçiş Yapmak, Yoksa Serveri Rootlamak. Hem Geçişle, Hemde Rootla İlgili Konularda Güzide Sitemizde Mevcut.
Arkadaşlar Yukarıda Bahsettiğim Konular Klasik Her Hedef Üzerinde Yapılan, Denenen Yöntemlerden Bazılarıdır. Gelen Soruya "Sitenin Scriptine Bak, Serverine Bak, Şuyuna bak, Buyuna Bak. Diye İşin Kolayınada Kaçabilirdim Ama Hiç Değilse İki Satır Birşeyler Karalayayım Dedim. Döküman Daha Kapsamlıda Olabilirdi Vakit Darlığında Anca Bu Kadar Çıktı.
Sitemizin Arama Kısmını Kullanarak, Veya Konu Altına Aklınıza Takılan Yerleri Sorarak Dökümanı El Birliğiyle Genişletebiliriz.
Hiç yorum yok:
Yorum Gönder