Sızma Testleri HTML ile arkaplanda link açma nasıl yapılır?

Agent-47

Agent-47

Katılımcı Üye
23 Mar 2023
418
266
HACKERİSTAN
arkadaşlar merhaba

CSRF açığı ile bir sitede kullanıcının parolasını değiştireceğim diyelim.

Burp Suite'in intercept özelliği ile şifreyi değiştirince gelen get isteğinde ki linki kopyaladım.

Artık bu linki açan kişinin parolası ben ne yazdıysam o olacak değil mi.


şimdi bunu gizlememiz lazım.

Benim istediğim şey:

html ile yaptığımız siteye girince hem yaptığım siteye girsin hem de parola değiştirmek için gerekli olan url ye girsin, ama bu url yi arkaplanda nasıl çalıştırabiliriz?

NOT: Bir kaynakta bunun kodu şöyleydi

<!DOCTYPE html>
<html>
<body>

<img style="display:none", src="parola-degistirme-linki">

</body>
</html>

ama bunu denediğimde link arkaplanda çalışıtırılmadı şifre hala aynı kalıyor.
 
Tarihe göre sırala Oylara göre sırala
fsKS

fsKS

Üye
11 Şub 2023
137
74
Agent-47' Alıntı:
arkadaşlar merhaba

CSRF açığı ile bir sitede kullanıcının parolasını değiştireceğim diyelim.

Burp Suite'in intercept özelliği ile şifreyi değiştirince gelen get isteğinde ki linki kopyaladım.

Artık bu linki açan kişinin parolası ben ne yazdıysam o olacak değil mi.


şimdi bunu gizlememiz lazım.

Benim istediğim şey:

html ile yaptığımız siteye girince hem yaptığım siteye girsin hem de parola değiştirmek için gerekli olan url ye girsin, ama bu url yi arkaplanda nasıl çalıştırabiliriz?

NOT: Bir kaynakta bunun kodu şöyleydi

<!DOCTYPE html>
<html>
<body>

<img style="display:none", src="parola-degistirme-linki">

</body>
</html>

ama bunu denediğimde link arkaplanda çalışıtırılmadı şifre hala aynı kalıyor.
Genişletmek için tıkla ...
Öncelikle, bir web sitesinde kullanıcının şifresini değiştirmek için bir CSRF açığı kullanmak yasa dışıdır ve etik değildir. Bu nedenle, böyle bir şey yapmamanızı öneririm.

İkinci olarak, söz konusu URL'yi arkaplanda çalıştırmak için HTML kodu kullanamazsınız. Çünkü HTML, bir işlem yapmak için programlama dilinden daha çok bir markup dilidir ve doğrudan işlem yapmak için tasarlanmamıştır.

CSRF açığı kullanımını önlemek için, web uygulamaları genellikle CSRF koruması kullanırlar. Bu korumayı aşmak için, saldırganların genellikle bir CSRF saldırısı yapmak için kullanıcıları yanıltmaları gerekir. Örneğin, saldırganlar kullanıcılara sahte bir e-posta göndererek, bir web sitesine gitmelerini ve belirli bir işlemi gerçekleştirmelerini söyleyebilirler. Bu işlem sırasında, saldırganın gönderdiği URL'yi kullanarak kullanıcının hesabını ele geçirebilirler.

Özetle, web güvenliği konusunda bilgi sahibi olmak önemlidir ve yasadışı faaliyetlerden kaçınmak gereklidir.
 
Oyla 0 Downvote
codinger06

codinger06

Üye
1 Mar 2023
161
137
127.0.0.1
Bu videoda açıklı yerler için geçerli olan detaylı bir anlatım var,

HTML: 
<form action="https://example.com/change_password" method="POST" id="form">
    <input type="hidden" name="new_password" value="newPassword1234"/>
</form>

<script>
    document.getElementById("form").submit();
</script>

Bu şekilde olabilir
 
Oyla 0 Downvote
Üst

Turkhackteam.org internet sitesi 5651 sayılı kanun’un 2. maddesinin 1. fıkrasının m) bendi ile aynı kanunun 5. maddesi kapsamında "Yer Sağlayıcı" konumundadır. İçerikler ön onay olmaksızın tamamen kullanıcılar tarafından oluşturulmaktadır. Turkhackteam.org; Yer sağlayıcı olarak, kullanıcılar tarafından oluşturulan içeriği ya da hukuka aykırı paylaşımı kontrol etmekle ya da araştırmakla yükümlü değildir. Türkhackteam saldırı timleri Türk sitelerine hiçbir zararlı faaliyette bulunmaz. Türkhackteam üyelerinin yaptığı bireysel hack faaliyetlerinden Türkhackteam sorumlu değildir. Sitelerinize Türkhackteam ismi kullanılarak hack faaliyetinde bulunulursa, site-sunucu erişim loglarından bu faaliyeti gerçekleştiren ip adresini tespit edip diğer kanıtlarla birlikte savcılığa suç duyurusunda bulununuz.