- 23 Tem 2023
- 94
- 86
Hepinize selam arkadaşlar bu konumda sizlere siber güvenlik temelleri serisinin ilk konusunu paylaşıcam. Bu seri tryhackme ile birlikte beraber gidecek.
Offensive security nedir?
Ofansif güvenlik, bilgisayar sistemlerindeki güvenlik açıklarını tespit ederek ve siber saldırıları simüle ederek şirketleri korumayı amaçlayan bir alan ve bu alanda çalışan profesyonel kişiler, tıpkı bir hacker gibi güvenlik açıkları nasıl bulunur, bilgi toplama nasıl yapılır gibi konuları bilirler. Fakat bu bilgi birikimlerini kişisel çıkar için değil şirketlerin güvenlikleri için kullanırlar.
Daha sonra diğer kavramımız olan defansive security nedir?
Defansif güvenlik, bir şirketin ağını ve bilgisayar sistemlerini koruma amacını taşıyan süreçtir. Yine bu alandaki profesyonel kişisel, potansiyel tehditleri analiz edip önlemler alarak, ağ güvenliğini sağlarlar ve siber saldırılara karşı savunma stratejileri geliştirirler.
SORU: Aşağıdaki seçeneklerden hangisi, bir sistemin güvenlik açıklarını bulmak amacıyla hacker'ın eylemlerini taklit ettiği süreçtir?
a) Ofansif Güvenlik
b) Defansif Güvenlik
a) Ofansif Güvenlik
Offensive Security Senaryo Örneği
Şimdi ise Offansive Security ile ilgili küçük bir örnek yapalım. Tryhackme üzerinden "Start Machine" diyerek saldırgan makinemi başlatıyorum ve karşıma fakebank.com adında bir site çıktı. Burada bakiyem -1232 dolar. Bizde bu fakebank sisteminde güvenlik açığı arayacağız.
Gobuster aracı ile dizin taraması yapıyoruz. Bu araç sızma testlerinde web adreslerinin klasörlerini/dizinlerini tespit etmek için kullanılır. Terminali açarak "gobuster -u http://fakebank.com -w wordlist.txt" yazıyoruz ve işlem başlıyor. İşlem sonucu iki tane sonuç alıyoruz "images" ve "bank-transfer". İmages klasöründe bir şey bulamadık ama "bank-transfer" klasöründe Admin Portal olarak para transferi yapabileceğimiz bir alan bulduk.
Bu kısımda send from kısmına tryhackme' nin bize vermiş olduğu hesap numarasını yazıyoruz 2276. Daha sonra kendi hesap numaramız 8881 yazıyoruz ve 2000 dolarlık para transferi yapmaya çalışıyoruz. Transfer başarılı bir şekilde gerçekleşti.
Böylelikle fakebank sistemindeki güvenlik açığı sayesinde kendimize yetkisiz bir şekilde para gönderebildik. Bu işlem de offensive security alanına girmektedir. Aynı bir hacker gibi bankanın güvenlik açığını bulduk buradan sonrası sistem yetkililerine açığı detaylı bir şekilde iletmek olacaktır.
Böylelikle konumuzun sonuna geldik. Bir sonraki konu Defansif Security ile alakalı olacaktır.
Videolu Anlatım
Son düzenleme: