- 23 Tem 2023
- 89
- 75
Uzun bir aradan sonra tekrardan selamlar arkadaşlar. Bu konuda tarayıcı özelliklerini kullanarak manuel penetrasyon testi yapmayı ele alacağız..
Tarayıcı Özellikleri ile Derken?
Bu özellikler view source code, inspector, debugger, network gibi özellikler olacak. Şimdilik view source ile başlayacağız. Daha sonra diğer özelliklere de değineceğiz. Ve uygulama olması açısından tryhackme üzerindeki "Walking an Application" odasıyla beraber gideceğiz.
View Source Nedir?
View Source yani kaynağı görüntüle özelliği, erişmek isteyip istekte bulunduğumuz web sunucusundan bize gönderilen ve bizim okuyabildiğimiz kodları görebildiğimiz kısımdır. Bu bizim görebildiğimiz kısım HTML, CSS, Javascript dillerinden oluşur. Sayfa kaynağını görüntülemek, web uygulaması hakkında daha fazla bilgi keşfetmemize yardımcı olabilir.
Nasıl Görüntüleriz?
Web uygulamasında boş bir yere gelip sağ tıklayın ve "Sayfa Kaynağını Görüntüle" seçeneğine basın. Ya da "CTRL+U" ile kısayolu kullanarak direkt açabilirsiniz.
Uygulama
Şimdi hedef sitemize gelip sayfa kaynağını inceliyoruz.
Burada tabi hepsini incelemek zorunda değiliz fakat incelersek daha verimli sonuç alırız. Temel olarak bakmamız gerekenler:
1) Yorumlar, web sitesi geliştiricisi tarafından genellikle koddaki bir şeyi diğer programcılara açıklamak ve hatta kendileri için notlar/hatırlatmalar yapmak için bırakılan mesajlardır.
2) Bağlantılar, web uygulamasında gizli olarak verilmiş bağlantıları kontrol edebiliriz.
3) Dizinler, web uygulamasına dahil edilen dizinler bize bilgi verebilir.
İlk olarak yorumlara baktığımız zaman 3 tane yorum görüyoruz. HTML de yorum satırlar <!-- ... --> şeklinde yazılır ve web uygulamasında çıktı olarak gösterilmez. En baştaki yorum satırından birşeyler çıkarabiliriz. Çünlü yeni bir anasayfa üzerinde çalıştıklarını ve yeni anasayfanın dizinini de vermişler "new-home-beta" eğer burasıyla yeni çalışmaya başlamışlarsa bir güvenlik açığı olabilir.
İkinci yorumda bişey çıkaramadık. Üçüncü yorumda da bize web uygulamasının "THM Framework v1.2" kullandığını ve parantez içinde framework' un linki verilmiş linke gittiğimiz zaman mevcut sürümün 1.3 olduğunu gördük ve güncelleştirme notlarını okuduğumuzda "tmp.zip" dosyası site dosyalarının yedeğini alarak herkese açık bir şekilde okunabilirmiş. Bizde şimdi bu dosya ya erişmeye çalışacağız.
Şimdi bağlantıları incelediğimiz zaman gizli bir sayfa görüyoruz "secret-page" sitede anlaşılmayan bir kelimeye bağlantı verilmiş.
Son olarak dizinleri incelediğimiz zaman sayfaya dahil edilen çoğu dosya "assets" dosyasının içinden dahil edilmiş. Bizde şimdi bu assests dizinin kontrol edelim bakalım yetkileri ayarlanmış mı?
Gördüğünüz gibi dizinin yetkileri ayarlanmadığı için içindeki dosyaları görebiliyoruz. Tabi bu durum çok fazla karşılaşılan bir durum değil fakat yeni de kontrol etmekte fayda var.
Böylelikle view source ile web uygulaması hakkında güzel bilgi almış olduk.
Daha Detaylı ve Uygulamalı Anlatım Videosu;
Tarayıcı Özellikleri ile Derken?
Bu özellikler view source code, inspector, debugger, network gibi özellikler olacak. Şimdilik view source ile başlayacağız. Daha sonra diğer özelliklere de değineceğiz. Ve uygulama olması açısından tryhackme üzerindeki "Walking an Application" odasıyla beraber gideceğiz.
View Source Nedir?
View Source yani kaynağı görüntüle özelliği, erişmek isteyip istekte bulunduğumuz web sunucusundan bize gönderilen ve bizim okuyabildiğimiz kodları görebildiğimiz kısımdır. Bu bizim görebildiğimiz kısım HTML, CSS, Javascript dillerinden oluşur. Sayfa kaynağını görüntülemek, web uygulaması hakkında daha fazla bilgi keşfetmemize yardımcı olabilir.
Nasıl Görüntüleriz?
Web uygulamasında boş bir yere gelip sağ tıklayın ve "Sayfa Kaynağını Görüntüle" seçeneğine basın. Ya da "CTRL+U" ile kısayolu kullanarak direkt açabilirsiniz.
Uygulama
Şimdi hedef sitemize gelip sayfa kaynağını inceliyoruz.
Burada tabi hepsini incelemek zorunda değiliz fakat incelersek daha verimli sonuç alırız. Temel olarak bakmamız gerekenler:
1) Yorumlar, web sitesi geliştiricisi tarafından genellikle koddaki bir şeyi diğer programcılara açıklamak ve hatta kendileri için notlar/hatırlatmalar yapmak için bırakılan mesajlardır.
2) Bağlantılar, web uygulamasında gizli olarak verilmiş bağlantıları kontrol edebiliriz.
3) Dizinler, web uygulamasına dahil edilen dizinler bize bilgi verebilir.
İlk olarak yorumlara baktığımız zaman 3 tane yorum görüyoruz. HTML de yorum satırlar <!-- ... --> şeklinde yazılır ve web uygulamasında çıktı olarak gösterilmez. En baştaki yorum satırından birşeyler çıkarabiliriz. Çünlü yeni bir anasayfa üzerinde çalıştıklarını ve yeni anasayfanın dizinini de vermişler "new-home-beta" eğer burasıyla yeni çalışmaya başlamışlarsa bir güvenlik açığı olabilir.
İkinci yorumda bişey çıkaramadık. Üçüncü yorumda da bize web uygulamasının "THM Framework v1.2" kullandığını ve parantez içinde framework' un linki verilmiş linke gittiğimiz zaman mevcut sürümün 1.3 olduğunu gördük ve güncelleştirme notlarını okuduğumuzda "tmp.zip" dosyası site dosyalarının yedeğini alarak herkese açık bir şekilde okunabilirmiş. Bizde şimdi bu dosya ya erişmeye çalışacağız.
Şimdi bağlantıları incelediğimiz zaman gizli bir sayfa görüyoruz "secret-page" sitede anlaşılmayan bir kelimeye bağlantı verilmiş.
Son olarak dizinleri incelediğimiz zaman sayfaya dahil edilen çoğu dosya "assets" dosyasının içinden dahil edilmiş. Bizde şimdi bu assests dizinin kontrol edelim bakalım yetkileri ayarlanmış mı?
Gördüğünüz gibi dizinin yetkileri ayarlanmadığı için içindeki dosyaları görebiliyoruz. Tabi bu durum çok fazla karşılaşılan bir durum değil fakat yeni de kontrol etmekte fayda var.
Böylelikle view source ile web uygulaması hakkında güzel bilgi almış olduk.
Daha Detaylı ve Uygulamalı Anlatım Videosu;