Session Fixation Nedir

Session Fixation (Oturum Sabitleme), uygulama üzerinde login olunduktan sonra bize verilen oturum değeri değişmiyorsa oturum sabitleme zafiyetinin var olduğu söylenebilir. Oturum sabitleme saldırısında saldırgan bildiği bir oturum değeri ile kullanıcının oturum açmasını sağlar bu sayede aynı oturum değeri ile kendisi de kullanıcının hesabını ele geçirebilmektedir. Session Fixation Zafiyetinin Gerçekleştirimi Oturum sabitleme saldırısı en basit şekilde URL üzerinden session değerinin gönderilmesi ile gerçekleştirilmektedir. Örnek olarak aşağıdaki şekilde bir link üzerinden https://xyz.com/index.php?PHPSESSID=3c481fd9c0449f0550606be8ff692b91 oturum değeri değiştirilebiliyorsa buraya bildiğimiz bir oturum değerini girerek kurbana yollayabiliriz....

April 4, 2021 · 2 min

Session Puzzling Nedir ?

Session Puzzling diğer adıyla Session Variable Overloading olarak da bilinmektedir. Uygulama seviyesinde oluşan bu açıklık aynı oturum değerinin (Session) farklı amaçlar ile kullanılmasından kaynaklı ortaya çıkmaktadır. Bu zararlı yöntem ile; Kimlik doğrulamaları ve doğrulama sırasında kullanılan güvenlik politikaları atlatılabilir. Başka kullanıcılar taklit edilebilir. Yetki yükseltme işlemi yapılabilir. Bu yöntem kullanılarak yukarıdaki işlemler yapılabilir fakat yalnızca bunlar ile sınırlı değildir. Çalışan uygulamaya göre daha farklı zafiyetler bulunabilir ve daha farklı saldırılar gerçekleştirilebilir....

April 4, 2021 · 5 min

Cross Site Scripting(XSS) Nedir ?

Bu yazımda birçok websitesini tehdit eden ve ciddi sonuçlar doğuran Cross-Site Scripting(XSS) açığı nedir. Nasıl ele geçirilir bunlardan bahsedeceğim ve hazırladığım ufak bir lab ortamı ilede Cross-Site Scripting(XSS) zafiyetinden nasıl faydalanılabileceği ve bu zafiyetin ne tür zararlara yol açabileceğini anlatacağım. Owaspın web uygulama güvenliği listesinde ilk 10 da yer alan Cross-Site Scripting (XSS) açığı, saldırganların zararlı kod bloklarını enjekte etmesi ile oluşur. Sayfaya enjekte edilen kod onu görüntüleyen kişi tarafından tetiklenir ve zararlı kod çalışır....

March 28, 2021 · 4 min