Hoşgeldin Sivil

.
Forum Yöneticisi: Administrator | Bu Bölümde Yetkili Tüm Yöneticiler? | Bu konuyu okuyanlar?

 Forum Ana Sayfa
   Web Güvenlik Açıkları

   
 Kurallar    Aktif Konular    PM    Kayıt Ol     Giriş Yap  
» WEB | OWASP TOP 10 | Directory Traversal
 Konu Kalitesi %7.5
Oy Ver   
 
Gönderilme Tarihi: 30 Nisan 2022 23:11:56 - Kayıtlı IP
  Mesajı İhbar Et!     

FIRTIN4

Teğmen

/home
02 Mart 2022
16 Mesaj

Durum: mount /hayat


Aktiflik
Seviye
Deneyim



WEB | OWASP TOP 10 | Directory Traversal

Directory Traversal, bir web sayfası üzerinde URL üzerinden dizinler arası geçiş yapmaya yarayan bir güvenlik açığıdır. URL üzerinden saldırganın görmemesi gereken sistem dosyalarını okuyabilme hakkı verir. Nasıl yapıldığını application.security üzerinden inceleyelim.
Bob’a DealHub adında e-ticaret sitesi üzerinde zafiyet taraması gerçekleştirmesi isteniyor.

Bob web sayfası üzerinde gezinerek bilgi topluyor. Ardından bir ürün üzerinde yoğunlaşıyor yüklenen ürün resmini incelediğinde

Bob açılan resmin URL’sini incelediğinde TECH735.jpg dosyasının çağırıldığını görür. Bunun üzerine Directory Traversal açığını denemeye karar verir.
Ancak gelin önce kaynak kodlarını inceleyelim önce

Kaynak kodları incelediğimizde ”folderName” değişkenin, dizin adını tuttuğunu ”path” değişkeni ile de tüm değişkenlerin birleştirildiği görülüyor.Ardından write metodu ile tarayıcıda görüntülenmesi sağlanıyor.

Resimde vurgulanan yerde path değişkeninin değeri gösteriliyor.

Fotoğraf adresini değiştirip ../../../../etc/passwd yazarak /etc dizini altındaki passwd dosyasını okumaya çalışıyoruz.

Görüldüğü üzere passwd dosyasının içerini ekrana basıyor ve bu şekilde Directory Traversal açığını sömürmüş olduk.
Gelin bu açığın nasıl fixlendiğini kaynak kodlar üzerinden inceleyelim.



Bir önceki kaynak kodlara getCanonicalPath adında bir method eklenerek gönderilen dosyalar iki kez kontrol ediliyor. Bu metod “..” şeklinde atlatmaları yakalıyor.




___________________________________________
[B][COLOR=GREEN]Fikir işçisiyim **GNU**[/COLOR][/B]

[B][COLOR=GREEN]Ulu çamlar fırtınalı diyarlarda yetişir.[/COLOR][/B]
       
  Lojistik Destek ,    
 
 
Gönderilme Tarihi: 30 Nisan 2022 23:12:57 - Kayıtlı IP
  Mesajı İhbar Et!     

Börteçine

Kuvvet Komutanı

Tarafından
17 Ocak 2022
63 Mesaj

Durum: KETUM


Aktiflik
Seviye
Deneyim
Member Manager

Görev Org./Grup :

Lojistik


Emeğine sağlık.
+1 Hayırlı olsun


___________________________________________
Koca Hestiy Aya Bedenem{!}
       
  Errorle Mücadele , Lojistik Destek (TIM LiDERi) , Yöneteam , Trial Mods (TIM LiDERi) , C-WarZ ,    
 
 
Gönderilme Tarihi: 01 Mayıs 2022 01:17:54 - Kayıtlı IP
  Mesajı İhbar Et!     

EmreZeriX

Komodor

/public_html
14 Aralık 2021
104 Mesaj

Durum: Yorgun


Aktiflik
Seviye
Deneyim
Moderatör

Görev Org./Grup :

Sosyal Medya


Lojistik

Uzmanlık Alanları:
BD Script
AI Researcher

Ellerine sağlık +10


___________________________________________

          
     
 
 
Git:
  Arkadaşına yolla

Sayfa Yüklenme Süresi: 0.0508


 

İçerik Yöneticisi : AKTIF / Veriler Aktarıldı...
IP Adresiniz : 18.97.14.80 Güvenlik Nedeniyle Kayıt Altındadır.



Uzun yoldan geldik, uzun yola devam...

   


Reklam vermek için tıklayın

Forum Kuralları | Üye Olmak İçin | CyberAkademi | Operasyonel TİM'ler
CYBERAKADEMI ~ 2021