Ekim 19, 2021
11 11 11 ÖÖ
TCP nedir ? Aktarım Katmanı 2
Aktarım Katmanı Tcp Nedir
Yönlendirme Nedir 2 ?
Yönlendirme Nedir ?
Ağ Katmanı Nedir 2 ?
Ağ Katmanı Nedir ?
Veri Bağı Katmanı Nedir 2 ?
Android Studio Nasıl Kurulur ?
Veri Bağı Katmanı Nedir ?
Fiziksel Katman Nedir ?
Son Yazılar
TCP nedir ? Aktarım Katmanı 2 Aktarım Katmanı Tcp Nedir Yönlendirme Nedir 2 ? Yönlendirme Nedir ? Ağ Katmanı Nedir 2 ? Ağ Katmanı Nedir ? Veri Bağı Katmanı Nedir 2 ? Android Studio Nasıl Kurulur ? Veri Bağı Katmanı Nedir ? Fiziksel Katman Nedir ?
dvwa walkthrough

Command Injection (Medium Level)

Paylaşım , Takip İçin

İlk önce bizim yapmamız gereken medium levelinin neye göre medium olduğudur. Yani güvenlik önlemleri nelerdir. Medium levelin güvenlik kodlarına bakmadan önce low levelin güvenlik kodlarını bilmektir.

Low levelin güvenlik önlemi olmadığı için yani low leveldeki kodlara bakacak olursanız açığı açıklamıştık . Medium seviyesine geçtiğimizde iste bu güvenlik zafiyetinin bir önlemi alınmış olacaktır . Aynı şekilde High seviyesine geçtiğimiz zaman ise medium daki güvenlik zafiyetide onarılmış olacaktır ki bu durumda bizimde high seviyesinde saldırı yapmamız engellenmiş olacaktır

Medium seviyesinde güvenlik aşşağıdaki kaynak koddan da görülebileceği gibi sadece && ve ; karakterlerinin filtrelenmesinden ibarettir. Bu güvenlik önlemi low levele göre bir güvenlik önlemidir evet ama parametrelerimiz fazla olduğu için diğer parametrelerimizle yine sızabiliyoruz . 

Low levelde de anlattığımız üzere yukardakı güvenlik önlemi çokta zor bir güvenlik değil. Çift haneli and or işaretleri yerine bunların tek halleri de kullanıldığı için bu şekilde kullandığımız zaman güvenliği geçmiş olacağız. Kısaca  ” & , || , | ” kullanarak bu güvenliği aşmış oluyoruz .

Gördüğünüz gibi && yerine tek & kullanarak ve low command injection daki gibi kodumuzu yazarak şifreleri almış bulunmaktayız.

Görüldüğü üzere kullanmış olduğumuz komutların çıktısı görüntülenmektedir. Böylelikle hedef sitenin sunucusunda kendi belirlediğimiz and , or parametreleriyle sistem komutunu çalıştırabiliyoruz. Yani sayfanın bir zafiyeti barındırdığını görmüş olduk. Bu zafiyet veri girilen metin kutusunun herhangi bir zor seviyede güvenlik önlemine sahip olmamasından dolayı kaynaklanmaktadır.


Paylaşım , Takip İçin
0 0 votes
Article Rating

Bir Cevap Yazın

0 Yorum
Inline Feedbacks
View all comments
0
Would love your thoughts, please comment.x
()
x
HAYALİNDEKİ YAZILIM
%d blogcu bunu beğendi: