Site Hackleme Taktikleri Ve Açıklamalar

-

Site Hackleme Taktikleri ve Açıklamalar

Brute Force AttacksSite Hackleme Taktikleri Ve Açıklamalar

Belirli tabanlı sitelere yapılan deneme yanılma saldırılarıdır. Tam olarak bir açık değildir. Şifrelerin zayıf,kolay olması ile işe yarayan bir yöntemdir. Özel siteleri hacklerken pek fazla kullanılmaması ile beraber sayı kasmak için yapılan saldırlarda etkili bir yöntemdir. 

SQL İnjection
SQL İnjection sql veritabanı kullanan site ve uygulamalarda oluşan bir açıktır. Saldırganın sitede (ya da uygulamada) izinsiz şekilde sql komutları çalıştırmasına olanak sağlar. Bu şekilde etkili kullanıldığı takdirde tüm veritabanı bilgilerine erişim sağlanabilir. Dilerseniz vikipedi tanımna bakalım, daha açıklayıcı olacaktır :

SQL Injection, veri tabanına dayalı uygulamalara saldırmak için kullanılan bir atak tekniğidir; burada saldırgan SQL dili özelliklerinden faydalanarak standart uygulama ekranındaki ilgili alana yeni SQL ifadelerini ekler. (Örneğin saldırgan,veritabanı içeriğini kendisine aktarabilir).[1] SQL Injection, uygulamaların yazılımları içindeki bir güvenlik açığından faydalanır, örneğin, uygulamanın kullanıcı giriş bilgileri beklediği kısma SQL ifadeleri gömülür, eğer gelen verinin içeriği uygulama içerisinde filtrelenmiyorsa veya hatalı şekilde filtreleniyorsa, uygulamanın, içine gömülmüş olan kodla beraber hiçbir hata vermeden çalıştığı görülür. SQL Injection, çoğunlukla web siteleri için kullanılan bir saldırı türü olarak bilinse de SQL veritabanına dayalı tüm uygulamalarda gerçeklenebilir.



SQL injection saldırıları, saldırganların, sistemdeki kullanıcılardan birinin bilgileriyle giriş yapmasına, mevcut verilere müdahale etmesine, bazı işlemleri iptal etmesine veya değiştirmesine, veri tabanındaki tüm verileri ifşa etmesine, veri tabanındaki tüm verileri yok etmesine, veri tabanı sunucusunda sistem yöneticisi olmasına olanak sağlar.

RFI/LFI Saldırıları
Kötü niyetli saldırganın, yerel(local) ve uzaktan(remote) kod çalıştırmasına olanak sağlar. LFI (Local File Inclusion) : Yerelden dosya ekleyerek kod çalıştırmaktır. RFI (Remote File Inclusion) : Uzaktan dosya ekleyerek kod çalıştırmaktır.

CSRF-XSRF
Cross-Site Request Forgery (Csrf - Xsrf - Cross Site Reference Forgery) Webmaster’ların Coding & Security bilgi eksikliğinden kaynaklanan güvenlik zaafiyetidir. Site Yetkilisinin haberi omaksızın güvenlik açığının istismar edilmesidir. Saldırganın javascript veya html kodlarıyla yetkilinin oturum bilgilerini çalma olayıdır. Kurban önceden Hazırlanmış Bu Js ve HTML dosyalarına tıkladığı anda kapana düşer. böylelikle kurbanın Session (Oturum) Bilgileri Saldırgan Tarafından Değiştirilmiş Olur.
Cross Site Scripting (XSS)
Cross site scripting (XSS) bilgisayar güvenlik açığı HTML kodlarının arasına istemci tabanlı kod gömülmesi yoluyla kullanıcının tarayıcısında istenen istemci tabanlı kodun çalıştırılabilmesi olarak tanımlanır.


Upload açıkları
Upload açıkları sitede belli bir dizinde bulunan upload bölümünün herkese açık olması durumudur. Shell atılamıyorsa ana sayfaya zarar veren bir açık değildir. Ancak shell atılabilir durumdaysa çok ciddi bir tehlike oluşturabilir.

Exploti
Exploti hack için olmazsa olmaz bir şeydir. Tanımı bile çok uzun olacağından dolayı direkt vikipedi kısa tanımını ve çeşitlerini yazsam yeterli olacaktır. Exploit (İngilizce: to exploit - kötüye kullanmak) bir bilgisayar programıdır veya bir script, bilgisayar programlarında bulunan zayıflık veya hatalar için kullanılır.

Çeşitli exploit'ler mevcuttur

Local Exploits
Remote Exploits
Dos-Exploits
Command-Execution-Exploits
SQL-Injection-Exploits
Zero-Day-Exploits

Yorumlar

Yorum Gönder

Bu blogdaki popüler yayınlar

CONFİG NEDİR? Ne İşimize Yarıyacak? Config Çekme Örnekleri. - Hackerlik Okulu

-
Resim
CONFİG NEDİR? Config sitenin bilgilerinin bulunduğu ve diğer sitelerin serwerlarıyla iletişimin sağlandığı dosyadır.Tam adı config.php (wordpress) ya da configuration.php 'dir ( joomla ). Ne İşimize Yarıyacak? Evet,gelelim asıl mevzuya ne işe yarıyacağına.Biz config dosyasından db adını,db şifresini ve db kullanıcı adını alarak bi de port değişikse onu da configten öğrenerek shellin sql bölümünden kendi sitemize bağlanabiliriz. Ee diyorsunuz zaten shell attığım bir siteye bağlansam ne olacak? Zaten amaç bu değil; asıl amaç config dosyasının içindeki bilgileri çekmek. Sizin görebildiğiniz kendi sitenizin bilgileri, fakat birkaç işlemle config çekebilirsek sunucuda bulunan bütün sitelerin config.phpsine ulaşabiliriz. Bu da şu demek oluyor,1 siteyle 100'lerce, 1000'lerce site hackleyebiliriz. İşte shellin sql bölümünden sitelere bağlanabiliriz, ve şifrelerini değiştirip hepsini hackliyebiliriz. Config dosyasının işlevi bu. Çekildikten sonra db adı,portu,şifresi
Devamı

Profesyonel Hacker Olmak İsteyenler Yeni Başlayanlar İçin Yol Haritası

-
Resim
Profesyonel Hacker Olmak İsteyenler Yeni Başlayanlar İçin Yol Haritası Beyaz Şapkalı Hacker olmak istiyorum diyenlere Hackerlerin amacı nedir ? Böyle bir soru soruldugu zaman hiç bir hacker ben hacker olucam diye yola çıkmaz. Zamanla bilgi ve birikimi onu hacker olmaya itmiştir. Artık geri dönulmez bir yola girdigini anlamıştır. Kendine bir amaç çizer. Bunlar gunumuzde genelde , İllegal hosuna gitmeyen siteleri hacklamak , Sistem açıklarını tespit edip O sisteme sızarak sistemin guvenlı olmadıgını belirtmek en buyuk zevkleri arasındadır. Hackerler biraz da egoist olurlar. Kimileri her ne kadar Hackerler tanınmaz , En iyi hacker kendini gizleyen hacker vb gibi laflar desede , bu laflar çoluk , çocuk laflarıdır. Bir hacker Sisteme girdiginde mutlaka kendini gizler , kendini tespit ettirecek şeylerden uzak durur. Fakat Hack Dünyası nda ismini duyurmak mutlaka o da isteyecek ve tanınmak isteyecektir. Fakat Gerçek bir hacker bir iş yaptıgı zaman tam yapar , öz yapar .. Yaptıgı iş d
Devamı