Hoşgeldin Sivil

.
Forum Yöneticisi: Administrator | Bu Bölümde Yetkili Tüm Yöneticiler? | Bu konuyu okuyanlar?

 Forum Ana Sayfa
   Web Güvenlik Açıkları

   
 Kurallar    Aktif Konular    PM    Kayıt Ol     Giriş Yap  
» Web Uygulamaları Nasıl Çalışır?
[ 1 ]   2
 
 Konu Kalitesi %12.5
Oy Ver   
 
Gönderilme Tarihi: 13 Eylül 2023 19:32:56 - Kayıtlı IP
  Mesajı İhbar Et!     

al0new0lf

Teğmen

Ankara
08 Eylül 2023
16 Mesaj




Aktiflik
Seviye
Deneyim



1.GİRİŞ
Bu döküman, siber saldırıların %75’inin web tabanlı uygulamalarda olduğu bir dünyada, saldırıların nasıl gerçekleştirildiği hakkında bilgi vermek ve saldırılardan korunma yöntemleri hakkında bilgi vermektedir.

2.WEB SALDIRILARI NEDİR?
Web uygulamaları, tarayıcı arayüzü vasıtasıyla kullanıcılar için çeşitli servisler barındıran uygulamalardır. Günümüzde web uygulamaları internet kullanımının büyük bir bölümünü oluşturmaktadır. Google, Facebook ve Youtube gibi internet siteleri (mobil uygulamalar da dahil olmak üzere) aslında birer web uygulamalarıdır.

Web uygulamaları, birçok organizasyonun internete açılan arayüzü olması dolayısıyla, saldırganlar cihazlara / sunuculara sızabilmek için bu uygulamaların zafiyetlerinden yararlanarak, kişisel bilgileri ele geçirebilmekte, organizasyonları finansal zarara uğratabilmekte ve firmaların sunduğu hizmetlerde aksaklıklara yol açabilmektedirler.

Acunetix tarafından yapılan çalışmaya göre siber saldırıların %75’i web tabanlı uygulamalarda gerçekleşmektedir.

Bu dökümanda, web uygulamalarına sızmada kullanılan saldırı yöntemlerini, saldırganların bu yöntemleri nasıl kullandıklarını ve son olarak da bu metodlardan korunma yöntemlerini inceleyeceğiz. Bahsedilen saldırı yöntemleri ana başlıklar halinde aşağıdadır.

SQL Injection
XSS - Cross Site Scripting
Command Injection
IDOR
RFI / LFI
File Upload (Web Shell)


3.WEB UYGULAMALARI NASIL ÇALIŞIR?
Uygulamaların zafiyetlerini bulabilmek için ilgili teknolojinin nasıl çalıştığını anlamak gerekir. Web uygulamaları birbirleriyle iletişim kurarken çeşitli protokoller üzerinden hareket ederler. Bu protokolün adı HTTP (HyperText Transfer Protocol)’dir.

Başlangıç olarak, HTTP protokolünün OSI modelinde 7. katmanda olduğunun bilinmesinde fayda vardır. HTTP protokolünün 7. katmanda olması sebebiyle; Ethernet, IP, TCP ve SSL gibi protokoller HTTP’den önce kullanılırlar.




HTTP iletişimi sunucu ile istemci arasında gerçekleşir. İlk olarak, istemci sunucudan belirli bir kaynağı talep eder. Sunucu HTTP isteklerini belirli bir kontrol ve süreçlerden geçirdikten sonra istemciye cevap verir (HTTP Response). İstemciye ait cihaz cevabı alır ve talep edilen kaynağı uygun formatta görüntüler.



Şimdi de HTTP Request ve HTTP Response kavramlarını daha detaylı inceleyelim.

4.HTTP REQUESTS (HTTP İSTEKLERİ)

HTTP istekleri (request) sunucudan talep edilen kesin kaynaklara ulaşmak için kullanılırlar. Bu kaynaklar bir HTML dosyası, video veya json vb dosyalar olabilir. Web sunucusunun görevi alınan isteği gerekli süreçlerden geçirerek kullanıcıya sunmaktır.

Standart bir HTTP formatı olmakla birlikte, tüm istekler bu formatla uyumlu olmak zorundadır ki web sunucuları gelen istekleri anlamlandırabilsin. Eğer HTTP istekleri farklı bir formatta gönderilirse, sunucu bu isteklere anlam veremeyecek ve kullanıcıya bri hata mesajı döndürecektir. Dahası sunucu gelen isteğe göre bir servis sağlayamayacaktır ki bu da farklı bir saldırı çeşididir.

Bir HTTP isteği 3 ana bölümden oluşur.
1.Request Line : İstek hangi metotla geldi (GET, POST), versiyon bilgisi
2.Request Headers : Makina adı, cookie bilgileri, kullanıcı bilgileri vs
3.Request Message Body: : Kontrol edilecek bilgiler (username, password vs)

Şimdi ise resimdeki HTTP isteğini / talebini satır satır inceleyelim.
1. GET metodu sunucudan istenilen kaynağın ” / ” olduğunu belirtir ve “ / “ işareti ile ana sayfanın talep edildiği anlaşılır.

2. Son günlerde bir web sunucusunda birden fazla web uygulaması olabildiğinden dolayı, tarayıcılar talep edilen domain’in hangi makinada olduğuna dair makina adı bilgileri içerir (Host Header).

3. Bir web uygulaması, istemcinin bilgisayarında oturum bilgilerini kaydetmek istediğinde, bu işlemi “Cookie” ‘ler ile yapar. Dolayısıyla siteye her girdiğinizde kullanıcı bilgilerinizi tekrar tekrar hatırlamanıza gerek kalmaz.

4. “Upgrade-Insecure-Header” header’ı istemcinin SSL ile şifreli iletişim kurmak istediği anlaşılır.

5. “User-Agent” header’ında istemciye ait tarayıcıya ve işletim sistemine ilişkin bilgiler barıldırılır. Web sunucuları bu bilgileri istemciye belirli HTTP response (cevap) ‘ları gönderirken kullanırlar. Bazı otomatize edilmiş zafiyet tarayıcıları işte bu header’larda inceleme yaparlar.

6. “Accept” header’ı içerisinde talep edilen verinin hangi tipte olduğu tutulur.

7. “Accept-encoding” header’ı ile istemcinin çözümleyebileceği / anlayabileceği kodlama türü (encoding-type) saklanır. Örneğin dosya sıkıştırma algoritması hakkında bilgi edinmek istiyorsanız bu header’a bakabilirsiniz.

8. “Accept-Language” header’ı içerisinde istemciye ait yorumlanabilecek yazılım dili bilgilerine erişilebilir. Web sunucusu bu header içerisindeki bilgilerle sunulacak olan içeriği istemcinin yorumlayabileceği şekilde gönderir.

9. “Connection” header’ı HTTP bağlantısının ne şekilde olacağına dair bilgiler içerir. Eğer bu header içerisinde “close” diye birşey varsa bu bilgi, HTTP cevapları istemciye gönderildikten sonra TCP bağlantısının sonlandırılacağını söyler. Eğer “Keep-Alive” diye bir ibare görürseniz de bu durumda bağlantı devam edecektir.

10. HTTP Request Header ile HTTP Request Message arasında ilgili bilgileri ayırmak amacıyla boş bir satır vardır.

11. Web uygulamasına gönderilecek olan diğer bilgiler Request Message Body içerisinde bulunur. Eğer HTTP POST metodu kullanılmışsa, POST parametreleri burada görüntülenecektir.


5. HTTP RESPONSE (HTTP CEVAPLARI)

Sunucu bir kez HTTP isteği aldığında, gerekli kontrol ve süreçleri başlatır, sonrasında ise istenen kaynakları istemciye gönderir. Bu konuda standart bir süreç yoktur çünkü bir çok web teknolojisi ve tasarımı vardır. Sunucu istenilen kaynağın niteliğine göre veri tabanından bilgileri getirir veya gelen veriye göre süreçleri başlatır. Fakat tüm bu süreçlerden sonra HTTP Response (yanıt) Header’ın istemciye ulaşmış olması gerekir.

HTTP Response Message
1.Status Line
2.Response Headers
3.Response Body

Sunucudan bir web sitesi talep edildiğinde , Response Body içerisinde genellikle HTML kodlarından oluşan bir sayfa görünecektir. İstemci HTML kodlarını aldığında, web tarayıcısı HTML kodlarını bir takım süreçlerden geçirerek web sayfasının görüntülenmesine olanak tanır.




Şimdi HTTP Response yapısını inceleyelim.

-Status Line : HTTP versiyon bilgisi ve HTTP durum kodlarının bulunduğu bölgedir. Status Kodlarını aşağıdaki infografikte inceleyebilirsiniz.
-Response Headers : Aşağıda HTTP Response Headers kısmında sıkça karşılacağınız header bilgileri mevcuttur.
-Date : (Gün) Sunucunun istemciye gönderdiği tarih bilgisi
-Connection : (Bağlantı) Kurulan bağlantının tipi
-Server : (Sunucu) Sunucuya ait işletim sistemi ile web sunucusunun versiyon bilgileri
-Last-Modified : (Düzenleme) Bu header cache mekanizması için kullanılmaktadır.
-Content-Type : (İçerik Tipi) Gönderilen veriye ait tip bilgileri
-Content-Length: (İçerik boyutu) Gönderilen verinin boyutu


KAYNAKLAR
[1] https://www.acunetix.com/websitesecurity/web-application-attack/
[2] https://www.letsdefend.io


___________________________________________
[SIZE=5][U][COLOR=RED]Kalpte[/COLOR] bir nur, bir hub idim,
7 kıt'a, 4 yön, yeri ve göğü bürüdüm...[/U][/SIZE]
       
     
 
 
Gönderilme Tarihi: 13 Eylül 2023 19:35:43 - Kayıtlı IP
  Mesajı İhbar Et!     

Root

Administrator

C-WarZ
02 Nisan 2000
197 Mesaj

Durum: Dogukan


Aktiflik
Seviye
Deneyim
Administrator

Görev Org./Grup :

Strateji


Emeğinize sağlık.


___________________________________________
Bu benim bahşettiğim bir arındırma programı.
          
     
 
 
Gönderilme Tarihi: 13 Eylül 2023 19:53:47 - Kayıtlı IP
  Mesajı İhbar Et!     

Altay

Albay

Bilinmeyen
16 Ocak 2022
194 Mesaj

Durum: Sabırlı


Aktiflik
Seviye
Deneyim



Güzel ve açıklayıcı bir konu olmuş, emeğinize sağlık ++


___________________________________________
Kamların Gecesi
       
     
 
 
Gönderilme Tarihi: 13 Eylül 2023 21:10:23 - Kayıtlı IP
  Mesajı İhbar Et!     

HAYALET

Albay

03 Ocak 2022
260 Mesaj

Durum: Beyaz Ve Sen


Aktiflik
Seviye
Deneyim
Moderatör

Görev Org./Grup :

Sosyal Medya


Lojistik


eline sağlık


___________________________________________
Oraleti sevmemiz portakala olan düşkünlüğümüzden değil biz ezilenin yanındayız.
       
     
 
 
Gönderilme Tarihi: 13 Eylül 2023 21:17:14 - Kayıtlı IP
  Mesajı İhbar Et!     

by.black.1
ByAdonish

Teğmen

Van
02 Mart 2022
48 Mesaj

Durum: Sabır


Aktiflik
Seviye
Deneyim



eline sağlık


___________________________________________
da655c43385f5b843646326910eaad38
          
     
 
 
Gönderilme Tarihi: 14 Eylül 2023 06:06:56 - Kayıtlı IP
  Mesajı İhbar Et!     

al0new0lf

Teğmen

Ankara
08 Eylül 2023
16 Mesaj




Aktiflik
Seviye
Deneyim



Bu şekilde, konuları temelden alıp ileri seviyelere kadar gelmek istiyorum. Allah hepimizi muvaffak etsin.


___________________________________________
[SIZE=5][U][COLOR=RED]Kalpte[/COLOR] bir nur, bir hub idim,
7 kıt'a, 4 yön, yeri ve göğü bürüdüm...[/U][/SIZE]
       
     
 
 
Gönderilme Tarihi: 14 Eylül 2023 08:57:35 - Kayıtlı IP
  Mesajı İhbar Et!     

EmreZeriX

Komodor

/public_html
14 Aralık 2021
104 Mesaj

Durum: Yorgun


Aktiflik
Seviye
Deneyim
Moderatör

Görev Org./Grup :

Sosyal Medya


Lojistik

Uzmanlık Alanları:
BD Script
AI Researcher

Alıntı : Alıntı-1: Orjinal mesajı yazan @al0new0lf; 14 September 2023
Bu şekilde, konuları temelden alıp ileri seviyelere kadar gelmek istiyorum. Allah hepimizi muvaffak etsin.



Temelden başlaman çok güzel detaylı ve anlaşılır resimlerle destekleyerek anlatman çok hoş +10 serinin devamını bekliyoruz...


___________________________________________

          
     
 
 
[ 1 ]   2
 
Git:
  Arkadaşına yolla

Sayfa Yüklenme Süresi: 0.074


 

İçerik Yöneticisi : AKTIF / Veriler Aktarıldı...
IP Adresiniz : 18.97.14.80 Güvenlik Nedeniyle Kayıt Altındadır.



Uzun yoldan geldik, uzun yola devam...

   


Reklam vermek için tıklayın

Forum Kuralları | Üye Olmak İçin | CyberAkademi | Operasyonel TİM'ler
CYBERAKADEMI ~ 2021