Penetration Testing, Web Application Security,Network Security

Reflected XSS saldırısını DVWA sitesinde test edelim. Aşama-1: Siteye giriş yaptık ve Reflected XSS bölümüne girdik.

XSS(Çapraz Site Betik) saldırıları hedef sitede kontrol yapısı olmayan alanlarda betik kod çalıştırmakla gerçekleştirilir. Bu betik kod HTML de olabilir javascriptte olabilir. Ağırlıklı olarak Javascript kullanılır. XSS reflected ,stored,DOM olarak üçe ayrılır.

Stored XSS saldırısını DVWA sitesinde test edelim. Aşama-1: Siteye giriş yaptık ve Stored XSS bölümüne girdik.

Burp Suite, pentest işlemlerinde en çok kullanılan proxy programıdır. Web işlemleri gerçekleştirirken istemci-sunucu mimarisini kullanırız. Bir web sitesini incelemeye başladığımız zaman giden gelen verilere,isteklere,isteklerin gidiş dönüş şekillerine göre işlemler gerçekleştiririz. Pentest işlemlerin sağlıklı işlemesi için istemci ile sunucu arasında yapılan her işlemin gerek istemciden çıkıp sunucuya varmadan kontrolü gerekse de sunucudan istemciye dönen cevap istemciye varmadan araya girerek bakılması çok önemlidir. Burp Suite işte burada devreye girer ve istemci sunucu arasındaki tüm verileri kendi üzerinden geçirerek kendisinde mevcut bulunan özellikler ile test edilmesini sağlar.

Amaç :   KALI ile Xp makinasındaki  MS08_067 açığını kullanarak XP ye uzak masaüstü bağlantısı sağlayarak sızma.Uzak masaüstü bağlantısı sağlandığında Xp makinasında herhangi bir şey hissedilmiyor.Ama komut satırından ‘netstat’ komutu ile bakıldığında XP ye bağlanan IP leri görebilirler. Gereksinimler: Kali IP: 192.168.0.75 XP IP :  192.168.0.64

Saldırı için Gereksinimler Kali IP  : 192.168.0.75 XP IP   : 192.168.0.64 Kodlar aşağıdaki gibidir.

Sanal makinede kurulu olan KALİ bilgisayarını Bridged moda çekip,  /etc/hosts dosyasında da aşağıdaki ayarları yaparsak ana makinemizde Wamp Server aracılığı ile kurulu olan DVWA sitesinde sql injection taraması yapabiliriz. Gereksinimler