Veri tabanından Hangi tabloları Çekeyim?

EKEGOREGEN · 19 Ocak 2018

Güncel acıklardakı bır okul sıtesının db sini çektim waf korumasını asarak hangi table çekmeliyim?

mfk06 · 19 Ocak 2018

Sabah Baktığım Site Olması

Admin İle İlgili Yada Dumplayacaksan Studentleri Çekmelisin

EKEGOREGEN · 19 Ocak 2018

mfk06' Alıntı:
Sabah Baktığım Site Olması

Admin İle İlgili Yada Dumplayacaksan Studentleri Çekmelisin

Sağolun komutanım

osm4nl1evl4d1 · 19 Ocak 2018

Login geçen herşeyi çek

EKEGOREGEN · 19 Ocak 2018

Şuan admin verilerini çekiyorum inşallah bir sorun çıkmaz

EKEGOREGEN · 19 Ocak 2018

Bunu nasıl çözerim

@mfk06

MenRabbuke · 19 Ocak 2018

Student ve login geçenleri çekmelisiniz

EKEGOREGEN · 19 Ocak 2018

MenRabbuke' Alıntı:
Student ve login geçenleri çekmelisiniz

Sitede waf koruması var bilgi alamıyorum

MenRabbuke · 19 Ocak 2018

Saldırı Tespit Testleri

Konumlandırılacak olan WAF bilinen saldırı türlerini tespit edip engelleyebiliyor olmalıdır. Hatta veri öğrenmesi metodları ile sıfırıncı gün saldırılarınıda tespit edebilen WAF lar mevcuttur. Seçilen WAF öncelikle OWASPın listesinde de bulunan aşağıda ki atak türlerini tespit edebiliyor olmalıdır.

- SQL İnjection
- Cross-Site Scripting
- Command İnjection
- Local File İncluding
- Buffer Overflow
- Brute-Force Attack
- Cookie-Session Posioning
- Session Hijacking
- Sensitive Information Leaks
- Server Misconfiguration
- Wall-known latform Vulnerabilities
- Form-Hidden Field Manipulation
- Parameter Tamper
- Remote File İncluding
- File Upload

Performans Analizi

WAF performansını denetleyebilmek için localde bir sunucu kurum curl-loader veya siege gibi client simülasyonları ile test yapılabilir. Bu test bize ileride ürünümüzü canlı ortama çıkarttığımızda karşımıza çıkabilecek problemler hakkında az çok bilgi verip önceden önlem almamızı sağlayacaktır.

Zayıflık Analizi

WAF sistemlerinde zayıflık analizi yapabilmek için önceden elimizde bulundurduğumuz veya internet üzerinde zafiyet barındırdığı bilinen bir uygulamayı edinerek bir web sunucusuna kurabiliriz. Bunlardan bazıları DVWA veya bWAPP gibi üzerinde OWASP TOP 10 zafiyetleri barındıran sistemler olabilir. Ardından bu zafiyet dolu siteyi tarayıp bir rapor oluşturmamız gerekiyor ve aynı testi araya WAF cihazını konumlandırarak tekrarlamamız gerekiyor. Sonrasında ise çıkan bu iki raporu karşılaştırmak kalıyor. En kısa şekilde elinizdeki WAF ın ne kadar başarılı olduğunu bu şekilde test edebilir rotanızı o yönde çizebilirsiniz. Eğer delta raporunda sizin scriptinizde barınan zafiyetten farklı bir zafiyet görünüyor ise elinizdeki ürünü alırken tekrar kere düşünmeniz gerekebilir.

EKEGOREGEN · 19 Ocak 2018

MenRabbuke' Alıntı:
Saldırı Tespit Testleri

Konumlandırılacak olan WAF bilinen saldırı türlerini tespit edip engelleyebiliyor olmalıdır. Hatta veri öğrenmesi metodları ile sıfırıncı gün saldırılarınıda tespit edebilen WAF lar mevcuttur. Seçilen WAF öncelikle OWASPın listesinde de bulunan aşağıda ki atak türlerini tespit edebiliyor olmalıdır.

- SQL İnjection
- Cross-Site Scripting
- Command İnjection
- Local File İncluding
- Buffer Overflow
- Brute-Force Attack
- Cookie-Session Posioning
- Session Hijacking
- Sensitive Information Leaks
- Server Misconfiguration
- Wall-known latform Vulnerabilities
- Form-Hidden Field Manipulation
- Parameter Tamper
- Remote File İncluding
- File Upload

Performans Analizi

WAF performansını denetleyebilmek için localde bir sunucu kurum curl-loader veya siege gibi client simülasyonları ile test yapılabilir. Bu test bize ileride ürünümüzü canlı ortama çıkarttığımızda karşımıza çıkabilecek problemler hakkında az çok bilgi verip önceden önlem almamızı sağlayacaktır.

Zayıflık Analizi

WAF sistemlerinde zayıflık analizi yapabilmek için önceden elimizde bulundurduğumuz veya internet üzerinde zafiyet barındırdığı bilinen bir uygulamayı edinerek bir web sunucusuna kurabiliriz. Bunlardan bazıları DVWA veya bWAPP gibi üzerinde OWASP TOP 10 zafiyetleri barındıran sistemler olabilir. Ardından bu zafiyet dolu siteyi tarayıp bir rapor oluşturmamız gerekiyor ve aynı testi araya WAF cihazını konumlandırarak tekrarlamamız gerekiyor. Sonrasında ise çıkan bu iki raporu karşılaştırmak kalıyor. En kısa şekilde elinizdeki WAF ın ne kadar başarılı olduğunu bu şekilde test edebilir rotanızı o yönde çizebilirsiniz. Eğer delta raporunda sizin scriptinizde barınan zafiyetten farklı bir zafiyet görünüyor ise elinizdeki ürünü alırken tekrar kere düşünmeniz gerekebilir.

Waf ın ne olduğunu biliyorum bana sqlmap waf bypaas lazım

Omer Frt · 19 Ocak 2018

Bu Konuda Waf Korumasını Ve ulaşamadığın admin bilgilerine ulaşabilmek için gerekli parametreler vardır. Biraz Bakınaraktan sana uygun parametreleri bulabilirsin.

EKEGOREGEN · 19 Ocak 2018

Her tamper ı denedım ama bır sonuc alamadım yetkılıler silebilir mi konuyu

ShuJaira · 19 Ocak 2018

Sql serverlardan sqlmap denemesinde genelde '' --tamperspace2comment.py'' veya --tamper=space2blank.py başarılıdır bu waf scriptlerini bi deneyin.

KaraMelek13 · 19 Ocak 2018

Login geçen herşeyi çek reis

ExpertMurderer1 · 19 Ocak 2018

kardes ben sqlmap waf bypass yaptikta yarim saat 40 dk falan bi isler gidiyor ama sonuc olmuyor , sana bunu manuel yapmani tavsiye ederim

Veri tabanından Hangi tabloları Çekeyim?

EKEGOREGEN

Katılımcı Üye

mfk06

Katılımcı Üye

EKEGOREGEN

Katılımcı Üye

osm4nl1evl4d1

Kıdemli Üye

EKEGOREGEN

Katılımcı Üye

EKEGOREGEN

Katılımcı Üye

MenRabbuke

Üye

EKEGOREGEN

Katılımcı Üye

MenRabbuke

Üye

EKEGOREGEN

Katılımcı Üye

Omer Frt

Yeni üye

EKEGOREGEN

Katılımcı Üye

ShuJaira

Kıdemli Üye

KaraMelek13

Katılımcı Üye

ExpertMurderer1

Katılımcı Üye

Sosyal medya sayfalarımız