Siber Güvenlik

Burp suite ile Session ID Randomness Analizi

by

Merhaba

Web uygulamaları, kullanıcı adı ve parola doğrulamasını başarılı bir şekilde tamamlamış kullanıcıları tanıyabilmek adına Session adını verdiğimiz değerleri kullanmaktadır. Bu değer, kullanıcının oturum bilgilerini doğru girmesi durumunda sunucu tarafından, tahmin edilmesi imkansız olan bir anahtar (teoride) üretilerek kullanıcıya Cookie bilgisi iletilmektedir. Bu aşamadan sonra kullanıcının internet tarayıcı kendisine sunucu tarafından iletilen bu Cookie değerini, üreteceği her HTTP talebine ekler ve böylece uygulamaya kendisini tanıtmış olur.

Read more

Captchasec ile Captcha Güvenlik Testi

by

Merhaba

Son zamanlarda gerçekleştirdiğim güvenlik testlerinin bir çoğunda captcha mekanizmaları ile ilgili talepler karşıma çıkmakta. Gelen taleplerin arasında da en çok sorulan soru şu ki ; “Captcha’mız kırılabiliyor mu ? ”

Bu soruya doğrudan cevap vermek mümkün değil. Özellikle OWASP v4 checklist’te ki bazı adımları doğrulamak gerekmekte. Bu adımlardan bir taneside captcha olarak sorulan resmin otomatize yazılımlar ( OCR )  ile çözümlenebilme oranı ile ilgili. Her testte tek tek bu hesaplamayı yapmaktan usandım ve işi otomatize etmeye karar verdim.  Böylece captchasec doğmuş oldu.

Read more

Metasploit | Metasploit Mimarisi ve Yapı Taşları

by

Merhaba

Metapsloit ile Modüle Geliştirme” isimli blog serisinin ikinci yazısı olan bu yazıda “Neden ruby ?” sorusu ile başlayıp Metasploit’in mimarisini ve yapı taşlarını ele alacağız. Eğer yazı serisine yeni başlıyorsaniz serinin ilk yazısı olan Metasploit | Geliştirme Ortamının Kurulması bölümünü okumanızı şiddetle tavsiye ederim. Zira ileriki yazılarda ele alınacak konular ve uygulamalar bu yazıda yapılan işlemler üzerinden devam edecektir.

Read more