sqli login bypass Etiketli Yazılar

BGA Blog yazıları

BGA Bank Müşteri Giriş Paneli SQL Injection Zafiyeti ve İstismarı
2014

BGA Bank Müşteri Giriş Paneli SQL Injection Zafiyeti ve İstismarı

Müşteri giriş panelinde SQL injection zafiyeti yer almaktadır. Zafiyet bilgileri tablo 1. de gösterilmiştir. Tablo 1. Giriş sayfası SQL injection zafiyet bilgileri URL http://isube.bgabank.com/giris.aspx HTTP Talep Türü POST Payload " or 2=2;-- Parametre b_musterino Zafiyetin istismarı aşağıda adım adım anlatılmıştır. 1) Giriş formu kurallara uygun şekilde doldurur ve Firefox’un HTTP Live Headers eklentisi açıkken “Giriş Yap” butonuna tıklanır. HTTP isteği gönderilirken, “Live HTTP Header” üzerinde kendi yansımasını bırakır. Bu yansıma üzerinde javascript…
Devamı
BURP – SQLi ile Giriş Paneli Atlatma Saldırıları
2014

BURP – SQLi ile Giriş Paneli Atlatma Saldırıları

Arka tarafta veritabanı bağlantısı olan kimlik doğrulama amaçlı kullanılan login formları yeterli girdi denetimi yapılmadığı durumlarda kullanıcı adı / parola bilgisini bilmeyen saldırganlar tarafından atlatılabilmektedir. Login bypass işlemini başarılı gerçekleştiren saldırgan user/pass bilgisine ihtiyaç duymadan hedef sisteme yetkili kullanıcı haklarıyla erişebilir. Burp aracı web tabanlı uygulamaları güvenlik testi son derece kolaylaştıran önemli uygulamalardan biridir. Bu yazıda Burp aracı kullanarak BGA BANK (Bankalara ait güvenlik zafiyetlerini içeren web uygulaması) uygulamasındaki login bypass işleminin…
Devamı