- 6 May 2023
- 412
- 14
- 182
Bir websiteyi kapatmak yada bir süreliğine devre dışı bırakmak için bazı saldırılar kullanılır. Bu saldırılar nelerdir ve hangi araçlar ile yapılırlar?
DoS / DDoS Saldırısı;
Öncelikle bu saldırılar hedef siteyi yada ağı bir süreliğine kullanım dışı bırakmayı amaçlar. Bunu yapmak içinde hedef site yada ağa aşırı miktarda trafik gönderirler.
Bu işlemi tek bir cihazdan, yada basit bir tooldan yaptığınızda DoS, botnet adı verilen ağlardan yada yüzlerce IP adresinden aynı anda yapıldığında ise DDoS saldırısı olarak geçer.
Dos saldırıları çok etkili değildir. Site yada ağların 10'da 9'u DoS saldırısına dayanabilir. Ancak DDoS saldırısı gerçekten etkilidir vede hedef site yada ağın çökmesine sebep olabilir. DoS ve DDoS arasındaki fark yarattıkları etkidir.
SQL Enjeksiyonu;
Bu saldırı türünde, hedef sitenin veritabanına erişim sağlar. Veritabanını çalabilir, değiştirebilir yada silebilir. Bunu SQL Açığı adı verilen bir açıkdan faydalanarak yapabilirsiniz. Bir SQL Açığı bulmak kolay değildir. Örnek bir SQL Açığı:
id rakamı ve sondaki karakter ' değişebilir.
XSS (Cross-Site Scripting) Saldırısı;
Bu saldırıda amacımız hedef sitedeki güvenli olmayan bir giriş noktası kullanarak tarayıca istediğimiz kodları çalıştırmaktır. Bunu sitedeki güvenlik açıklarından faydalanarak zararlı betikler enjekte ederek yaparız. Bu saldırılar ile kullanıcı bilgisi çalma, oturum hırsızlığı, phishing, zararlı yönlendirmeler yapılabilir.
XSS Saldırı Türleri;
Stored XSS: Site, kullanıcılardan gelen verileri bir databasede saklıyorsa yapılabilir. Bu saldırı güvenli olmayan bir giriş noktasından veritabanına bir kod enjekte ederek yapılır. Bu enjekte edilen kod, giren kullanıcıların görüntülediği sayfalara enjekte edilir.
Reflected XSS: Site kullanıcıların verilerini hızlıca işleyerek geri döndüğünde bu saldırı için kullanılıcak açık ortaya çıkar. Bu saldırıda gelen veriye bir betik enjekte edersiniz. Gelen veri hızlıca işlenerek geri döndüğü için site bunu fark etmez. Bu sayede komut enjekte ettiğiniz veriyi gönderen kullanıcı enjekte etdiğiniz komutu çalıştırır yada enjekte ettiğiz kod sayesinde siteyi istediğiniz şekilde görüntüler.
DOM Based XSS: Bu saldırıda web sitenin JavaScript koduna sızarsınız ve istediğiniz şekillerde değiştirirsiniz. Bu sayede web sayfaları sizin istediğiniz şekilde görüntülenir yada giren kullanıcıları sizin sitenize yönlendirir.
CSRF (Cross-Site Request Forgery);
Bu saldırıda hedef kullanıcının haberi olmadan onun kimliği ile yetkilendirilmiş bir site üzerinden hedef siteye veriler yollarsınız. Bu saldırı ile hedef kullanıcı üzerinden hedef siteye istekler gönderirsiniz.
Clickjacking;
Bu saldırıda hedef sitede yapılan tıklama işlemlerini manipüle edersiniz. Kullanıcı zararsız görünen bir içerik yada butona tıkladığında aslında arka planda farklı bir işlem gerçekleşir.
Örnek: Kullanıcı İletişim sayfasına gitmek için menüden iletişim sayfasına yönlendiricek olan butona basar ve o sayfaya yönlendirilir. Ancak butondaki kod sayesinde yönlendirme ile beraber bütün bilgileri çalınır.
RFI (Remote File Inclusion) / LFI (Local File Inclusion): Bu saldırı türünde dışarıdan dosya yüklenmesine izin veren sitelerdeki basit bir açık kullanılır. Bu açıkdan faydalanarak web sitede yüklediği dosyayı çalıştırır ve kullanıcı bilgileri vb. şeyleri çalabilir.
Dos Saldırısı için yaygın olarak kullanılan araç, program ve yöntemler: LOIC (Low Orbit lon Cannon), HOIC (High Orbit lon Cannon), Slowloris
DDoS Saldırısı için yaygın olarak kullanılan araç, proram ve yöntemler: Botnet, UDP(User Datagram Protocol) Flood, ICMP(Internet Control Message Protocol) Flood, SYN FLood
SQL Enjeksiyon için yaygın olarak kullanılan araç, program ve yöntemler: SQLMap, Havij, SQLNinja, BSQL
XSS (Cross Site Scripting) Saldırsı için yaygın olarak kullanılan araç, program ve yöntemler: Burp Suite, XSStrike, BeEF (Browser Explotation Framework), XSSer
CSRF (Cross Site Request Forgery) için yaygın olarak kullanılan araç, program ve yöntemler: Burp Suite, OWASP ZAP (Zed Attack Proxy), CSRFTester, BeEF (Browser Explotation Framework)
Clickjacking için Yöntem:
RFI (Remote File Inclusion) / LFI (Local File Inclusion) için yaygın olarak kullanılan araç, program ve yöntemler: Exploit Frameworks, Directory Traversal Tools, Burp Suite
DoS / DDoS Saldırısı;
Öncelikle bu saldırılar hedef siteyi yada ağı bir süreliğine kullanım dışı bırakmayı amaçlar. Bunu yapmak içinde hedef site yada ağa aşırı miktarda trafik gönderirler.
Bu işlemi tek bir cihazdan, yada basit bir tooldan yaptığınızda DoS, botnet adı verilen ağlardan yada yüzlerce IP adresinden aynı anda yapıldığında ise DDoS saldırısı olarak geçer.
Dos saldırıları çok etkili değildir. Site yada ağların 10'da 9'u DoS saldırısına dayanabilir. Ancak DDoS saldırısı gerçekten etkilidir vede hedef site yada ağın çökmesine sebep olabilir. DoS ve DDoS arasındaki fark yarattıkları etkidir.
SQL Enjeksiyonu;
Bu saldırı türünde, hedef sitenin veritabanına erişim sağlar. Veritabanını çalabilir, değiştirebilir yada silebilir. Bunu SQL Açığı adı verilen bir açıkdan faydalanarak yapabilirsiniz. Bir SQL Açığı bulmak kolay değildir. Örnek bir SQL Açığı:
Kişisel Blog Sayfası - Hedef Blog
hedefsite.com
XSS (Cross-Site Scripting) Saldırısı;
Bu saldırıda amacımız hedef sitedeki güvenli olmayan bir giriş noktası kullanarak tarayıca istediğimiz kodları çalıştırmaktır. Bunu sitedeki güvenlik açıklarından faydalanarak zararlı betikler enjekte ederek yaparız. Bu saldırılar ile kullanıcı bilgisi çalma, oturum hırsızlığı, phishing, zararlı yönlendirmeler yapılabilir.
XSS Saldırı Türleri;
Stored XSS: Site, kullanıcılardan gelen verileri bir databasede saklıyorsa yapılabilir. Bu saldırı güvenli olmayan bir giriş noktasından veritabanına bir kod enjekte ederek yapılır. Bu enjekte edilen kod, giren kullanıcıların görüntülediği sayfalara enjekte edilir.
Reflected XSS: Site kullanıcıların verilerini hızlıca işleyerek geri döndüğünde bu saldırı için kullanılıcak açık ortaya çıkar. Bu saldırıda gelen veriye bir betik enjekte edersiniz. Gelen veri hızlıca işlenerek geri döndüğü için site bunu fark etmez. Bu sayede komut enjekte ettiğiniz veriyi gönderen kullanıcı enjekte etdiğiniz komutu çalıştırır yada enjekte ettiğiz kod sayesinde siteyi istediğiniz şekilde görüntüler.
DOM Based XSS: Bu saldırıda web sitenin JavaScript koduna sızarsınız ve istediğiniz şekillerde değiştirirsiniz. Bu sayede web sayfaları sizin istediğiniz şekilde görüntülenir yada giren kullanıcıları sizin sitenize yönlendirir.
CSRF (Cross-Site Request Forgery);
Bu saldırıda hedef kullanıcının haberi olmadan onun kimliği ile yetkilendirilmiş bir site üzerinden hedef siteye veriler yollarsınız. Bu saldırı ile hedef kullanıcı üzerinden hedef siteye istekler gönderirsiniz.
Clickjacking;
Bu saldırıda hedef sitede yapılan tıklama işlemlerini manipüle edersiniz. Kullanıcı zararsız görünen bir içerik yada butona tıkladığında aslında arka planda farklı bir işlem gerçekleşir.
Örnek: Kullanıcı İletişim sayfasına gitmek için menüden iletişim sayfasına yönlendiricek olan butona basar ve o sayfaya yönlendirilir. Ancak butondaki kod sayesinde yönlendirme ile beraber bütün bilgileri çalınır.
RFI (Remote File Inclusion) / LFI (Local File Inclusion): Bu saldırı türünde dışarıdan dosya yüklenmesine izin veren sitelerdeki basit bir açık kullanılır. Bu açıkdan faydalanarak web sitede yüklediği dosyayı çalıştırır ve kullanıcı bilgileri vb. şeyleri çalabilir.
Dos Saldırısı için yaygın olarak kullanılan araç, program ve yöntemler: LOIC (Low Orbit lon Cannon), HOIC (High Orbit lon Cannon), Slowloris
DDoS Saldırısı için yaygın olarak kullanılan araç, proram ve yöntemler: Botnet, UDP(User Datagram Protocol) Flood, ICMP(Internet Control Message Protocol) Flood, SYN FLood
SQL Enjeksiyon için yaygın olarak kullanılan araç, program ve yöntemler: SQLMap, Havij, SQLNinja, BSQL
XSS (Cross Site Scripting) Saldırsı için yaygın olarak kullanılan araç, program ve yöntemler: Burp Suite, XSStrike, BeEF (Browser Explotation Framework), XSSer
CSRF (Cross Site Request Forgery) için yaygın olarak kullanılan araç, program ve yöntemler: Burp Suite, OWASP ZAP (Zed Attack Proxy), CSRFTester, BeEF (Browser Explotation Framework)
Clickjacking için Yöntem:
- Iframe Ekleme: Hedef siteye başka bir web sayfasını içinde göstermeye yarayan bir HTML kodudur.
RFI (Remote File Inclusion) / LFI (Local File Inclusion) için yaygın olarak kullanılan araç, program ve yöntemler: Exploit Frameworks, Directory Traversal Tools, Burp Suite