URL ; Önceki bulguda bahsedilen BGA BANK sayfa parametresiyle sunucudan aynı dizin altındaki farklı php dosyaları (giris.php, mobilgiris.php vb.) çağırılmaktadır. Hem Linux’ta hem Windows’ta .(tek nokta) aynı dizini ve .. (iki nokta) ise bir üst dizini ifade eder. Linux bir sistemde /etc/passw...
Örnek URL onerror=al&s2=ert(‘BGA’); src=”a”/> Alınan önlemler, HPF (HTTP Parameter Fragmentation) olarak adlandırılan yöntemle atlatılabilmektedir. Bu yöntemde, arama işleminde yer alan, iki arama parametresi (s1 ve s2) üzerinden istismar edilir. Örnek URL ’de alert, s1 ve s2 para...
BGA Bank Müşteri Giriş Paneli Reflected XSS Zafiyeti ve İstismarı BGA Bank “Müşteri Giriş Paneli” sayfasında “Reflected XSS Zafiyeti” bulunmaktadır. XSS zafiyetinin tespiti ve istismarı aşağıda adım adım anlatılmıştır. Tablo 1. Giriş sayfası Reflected XSS zafiyet bilgileri URL HTTP Talep...
Kurumların Bilgi Güvenliği’ne yaptığı yatırımın ölçülmesi en zor işlerden birisidir. Kurumun ben güvenliyim, güvenliğe yatırım yapıyorum demesiyle gerçek manada güvende olması farklıdır. Siber Güvenlik Tatbikat Hizmeti bir kurumun dış ve iç siber saldırgan gözüyle kurumdaki tüm güvenlik bileşenleri...
Müşteri giriş panelinde SQL injection zafiyeti yer almaktadır. Zafiyet bilgileri tablo 1. de gösterilmiştir. Tablo 1. Giriş sayfası SQL injection zafiyet bilgileri URL HTTP Talep Türü POST Payload ” or 2=2;– Parametre b_musterino Zafiyetin istismarı aşağıda adım adım anlatılmıştır. 1) Gi...
Tablo 1. Captcha URL URL Tablo 1. de belirtilen adreste 3 kez yanlış giriş denemesinde bulunulduğunda, brute force saldırısını engellemek için captcha çıkmaktadır. Fakat mobil cihazla girildiğinde captcha çıkmamaktadır. Tarayıcıda user-agent bilgisi değiştirilerek, mobil cihaz gibi siteye giriş yapı...
