logo

 

Kaliteli Vizyoner Firmalarla İş Birliktelikleri Kurarsanız Gelecekte Bir Gün Sizde Onlardan Birisi Olursunuz

Portföyünde, dünya genelinde göz önünde bulunan, 15+ vizyoner teknoloji üreticisi yer alan RenovaBT, ülkemizde ve bölgesinde yer alan komşu ülkelerde en deneyimli “Gerçek, Katıksız” Katma Değerli Distribütörlerden birisi olup aynı zamanda güvenilir bir BT çözümleri danışma platformudur.


bilgi@renovabt.com
+90(312)666 13 49

Üreticilerimiz

Top 10 Web hackleme tekniği

WEB HACKLEME TEKNİĞİ

Top 10 Web hackleme tekniği

2023 Top 10 Web hackleme tekniği

Geçen yıl yayınlanan, mutlaka okunması gereken en yenilikçi web güvenliği araştırmasını belirlemeye yönelik topluluk destekli yıllık çabamızın 17. baskısı olan 2023’ün En İyi 10 Web Hackleme Tekniği yazımıza hoş geldiniz.

Web Hackleme Tekniği

Web Hackleme Tekniği

Bu yıl adaylık çağrımıza yanıt olarak topluluk 68 rekor sayıda katılım sundu ve 15 finalisti seçmek için oy kullandı. Finalistler daha sonra iki hafta boyunca analiz edildi ve 2023’ün en iyi on yeni web hackleme tekniğini seçmek için araştırmacılar Nicolas Grégoire, Soroush Dalili, Filedescriptor ve James Kettle’dan (bendeniz :)) oluşan uzman bir panel tarafından oylandı! Her zamanki gibi kendi araştırmamızı hariç tutmadık ancak panelistler bağlı oldukları hiçbir şeye oy veremezler.

Rekabet standardı bir kez daha son derece şiddetli oldu; kişisel olarak derecelendirdiğim birçok gönderi topluluk oylamasında bile hayatta kalamadı. Boş zamanı olan herkesin adaylık listesinin tamamını incelemesini önemle tavsiye ederim. Hangilerini inceleyeceğinizi değerlendirmenize yardımcı olmak için her giriş için yapay zekâ tarafından oluşturulan özetler ekledik.

Bütün bunları söyledikten sonra

Web hackleme tekniği için

geri sayıma başlayalım!

10. Yöneticinizle konuşabilir miyim? Zone’ların kontrolünü ele geçirmek için root EPP sunucularını hacklemek

Onuncu sırada, gözden kaçan ve inanılmaz derecede değerli bazı saldırı yüzeylerine dair güzel bir iç görüye sahibiz. Yöneticinizle konuşabilir miyim? Zone’ların kontrolünü ele geçirmek için root EPP sunucularını hackleyen Sam Curry, Brett Buerhaus, Rhys Elsmore ve Shubham Shah, bize kritik internet altyapısının şok edici derecede kırılgan olabileceği ve bir şeyi hacklemenin en kolay yolunun birçok katman uzakta olabileceği konusunda zamansız bir ders veriyor.

9. Cookie Crumbles: Web Oturumu Bütünlüğünün Kırılması ve Düzeltilmesi

Web Hackleme Tekniği

Dokuzuncu bölümde, Cookie Crumbles: Web Oturumu Bütünlüğünün Kırılması ve Düzeltilmesi, web çerezlerinin durumuna çeşitli açılardan sert bir bakış sunuyor. Göze çarpan tekniklerden biri, oturum sabitlemenin bir kuzeni olan CSRF belirteci sabitlemesidir ve bunu, özellikle popüler PHP framework Symfony dâhil olmak üzere çok sayıda kimlik doğrulama kitaplığından yararlanmak için kullanırlar. 2024’te CSRF saldırısı gerçekleştirmek istiyorsanız bu makaleyi okuyun. Marco Squarcina, Pedro Adão, Lorenzo Veronese ve Matteo Maffei’den mükemmel çalışma.

8. Akamai'den F5'e, NTLM'ye... sevgilerle.

Web Hackleme Tekniği

Sekizinci sırada yer alan, Akamai’den F5’e, NTLM‘ye… sevgilerle, HTTP Desync Saldırılarının hala internete musallat olduğunun kanıtını sunuyor. D3d’nin deadvolvo’nun çalışması, araştırma düşünce sürecinin zengin bir şekilde incelenmesi, tüm yolculuğun paylaşılması ve bu hata sınıfının kapsamını ve etkisini yakalaması sayesinde öne çıkıyor. Her iki tehdide açık sunucu üreticisi de ödül ödemeyi reddediyor ve bunun yerine bu tür araştırmaları teşvik etmek için açığa çıkan müşterilerinin ödül ödemesine güveniyor ve bu da bazı ilginç dinamikler yaratıyor. En iyisi bunu düşünmemek.

7. Microsoft Teams'i Nasıl Hackledim ve Pwn2Own'dan nasıl 150.000 Dolar Kazandım?

Web Hackleme Tekniği

Microsoft Teams’i Nasıl Hackledim, sizi 150.000 ABD Doları değerindeki bir istismar zincirinin tasarlanması ve geliştirilmesi konusunda yönlendiriyor. Masato Kinugawa’nın bu sunumu, okuyucunun istismarı yeniden keşfetmesine olanak sağlamak için titizlikle hazırlandı, bu yüzden ilgili teknikleri anlatarak sunumu bozmayacağım. Yeni bir saldırı sınıfı sunmak yerine, korumaları aşmaya yönelik yenilikçi yaklaşımına bütünsel bir bakış sunuyor. Herkesin okumasını tavsiye ederim, ancak Electron uygulamalarında önemsiz hatalar bulmak istiyorsanız özellikle okumaya değer.

6. HTTP Request Splitting güvenlik açıklarından yararlanma

HTTP Request Splitting kapsamını hafife almak kolaydır çünkü açıkçası, 2023’te herhangi bir mainstream sunucuda bulunmaması gerekir. Ancak nginx görünüşe göre aksini düşünüyor ve bu güvenlik açığını bilgisayar korsanları için yaygın ve yüksek etkili bir altın madeni haline getiriyor. HTTP Request Splitting güvenlik açıklarından yararlanma konusunda Sergey Bobrov, maksimum etkiye giden yaratıcı yolları gösteren geniş bir örnek olay incelemesi yelpazesi sunuyor. Nginx konumunu değiştirene veya HTTP/1.1 ortadan kaybolana kadar bunun değerli kalmasını bekleyebilirsiniz.

5. HTTP Parsers Tutarsızlıklardan Yararlanmak

Beşinci sırada, Rafael da Costa Santos’un HTTP Parsers Tutarsızlıklarından Yararlanmak, bilinen Parser kafa karışıklığı tekniklerini alıp bunları yeni bağlamlarda yeniden uygulayarak ACL bypasses, SSRF’yi, cache poisoning ve tabii ki WAF bypasses keşfediyor. Araştırmanın bu kadar kolay görünmesini sağlamak ciddi bir beceri gerektirir.

4. PHP filtre zincirleri: hata tabanlı Oracle'dan okunan dosya

2022’de hash_kitten, out-of-memory istisnalarını tetiklemek için PHP filtrelerini tekrar tekrar kullanarak dosyaların içeriğini sızdırmak için son derece yaratıcı bir teknik icat etti, ancak topluluk bunu kopyalamakta zorlandı ve teknik büyük ölçüde dikkatlerden kaçtı. PHP filtre zincirleri: hata tabanlı oracle’dan dosya okuma’da Rémi Matasse, bu muhteşem tekniğe fazlasıyla hak ettiği derinlemesine açıklamayı, optimizasyonları ve beraberindeki araç setini veriyor. Bu teknik büyüleyici ve PHP’de veya diğer dillerde daha da ileriye götürülüp götürülmeyeceğini merakla bekliyoruz.

3. SMTP Smuggling - Dünya Çapında E-Posta Sahtekârlığı

Hak edilmiş üçüncü sırada Timo Longin’in yazdığı SMTP Smuggling – Dünya Çapında E-Posta Sahtekârlığı geliyor. Bu araştırma, HTTP request smuggling tekniklerini bunun yerine SMTP’den yararlanacak şekilde uyarlayarak ayrıştırıcı tutarsızlığı fırtınasını sürdürüyor. Olağanüstü araştırmanın tüm özelliklerini içerir: yenilikçi fikirler, iyi bilinen yazılımları hedef alan yüksek etkili vaka çalışmaları, derinlemesine açıklamalar, araçlar ve daha fazla araştırma için geniş potansiyel. Farklı protokollerdeki kaçakçılık sorunlarını tanımlamak ve hatta SMTP’nin kendi içindeki ek teknikleri keşfetmek için sağlam bir temel oluşturabileceğini düşünüyoruz. Aynı zamanda açık bir ders de sunuyor; birden fazla ayrıştırıcıya sahip metin tabanlı bir protokol kullanıyorsanız dikkatli olun!

2. Hardened.NET de- serileştirme zafiyetinden Yararlanma

Piotr Bazydło’nun Exploiting Hardened .NET Deserialization zafiyetinden Yararlanma, mutlak bir seri durumdan çıkarma ana sınıfı sağlar. Giriş şu hedefi ortaya koyuyor: “kullanılabilir gibi görünmeyen hedeflerin aslında savunmasız olabileceğini gösterin”. Sonraki 100 sayfa bunu başarıyor. Zamanınızı bu sayfalara yatırın; onlar, engelleme listesine dayalı seri durumdan çıkarma hafifletmelerine olan inancınızı yok ederek ve sizi bu RCE’yi kişisel olarak alma araçlarıyla donatarak sizi ödüllendireceklerdir. Konferans sunumu olarak da mevcuttur. Panelin öne çıkan özellikleri arasında CredentialIntializer ve SettingsPropertyValue gibi güzel gadget’lar ve seri durumdan çıkarma-> Deserialization düzenine yönelik güvenli olmayan Deserialization saldırısı yer alıyordu.

Bu, Piotr Bazydło ve Trend Micro ZDI’nın topluluğa olağanüstü bir katkısıdır; harika bir çalışma!

1. State machine’i parçalamak: İnternet yarışı koşullarının gerçek potansiyeli

Bu çok tuhaf. Araştırmayı kendim de yayınladığımda derecelendirmenin bir risk olduğunu her zaman biliyordum ve yedi yıl sonra bu gerçekleşti; artık kendi araştırmamın en iyisi olduğunu ilan etmem gerekiyor. Gelecek yıl, dürüstlük benzerliğini geri kazanmak için bir strateji bulacağım ama şimdilik panelin geri kalanından dinleyelim:

Son yıllarda web yarışı koşulları hakkında söylenecek pek bir şey yoktu; test uzmanlarının nerede oldukları hakkında iyi bir fikirleri var, çalışıp çalışmadıklarını tespit edip yollarına devam ediyorlar. Ama artık değil. James Kettle tarafından yayınlanan Smashing the state machine, günlük uygulamalarda yarış durumu saldırılarının daha önce gözden kaçan yönlerini vurguluyor. Daha büyük bir etki elde etmek için yarış durumu saldırılarının çok adımlı yönüne odaklanır ve sömürülebilirliği en üst düzeye çıkarmak için en son HTTP yığınlarını kötüye kullanan en yeni teknikleri uyarlar. Bu saldırılardan bazılarını gerçekleştirmek zor olsa da, bu araştırmanın gelecek için büyük bir potansiyel barındırdığına inanıyorum!

SONUÇ

2023 yılı, güvenlik topluluğunun çok sayıda kaliteli araştırma yayınladığına tanık oldu ve bu durum hem topluluk oyu hem de panel oyu aşamalarında şiddetli rekabete yol açtı.

Bu projeye kıvılcım veren şey topluluk katılımıdır; bu nedenle sıralamamız hakkında fikirleriniz varsa veya yalnızca kişisel ilk onunuzu paylaşmak istiyorsanız, bunları yayınlamaktan ve bizi X/Mastodon/LinkedIn‘de etiketlemekten çekinmeyin. Hepimizin hemfikir olabileceği bir şey, 78 aday arasından on kazananın olası seçiminin pek çok iyi tekniği geride bırakacağıdır, bu nedenle adaylık listesini yeniden gözden geçirmeye değer!

İlk 10’a girmeyi sağlayan şeylerden biri de beklenen uzun ömürlülüktür, bu nedenle geçen yılın ilk 10’una da yetişmeye değer. 2024’te nelerin kazanılabileceğine dair bir önizleme görmek istiyorsanız RSS’mize abone olabilir, r/websecurity araştırmasına katılabilir veya bizi sosyal medyada takip edebilirsiniz. Bu tür bir araştırmayı kendiniz yapmakla ilgileniyorsanız, Kaçınma Açıklarını Avlama konusunda yıllar içinde öğrendiğim birkaç dersi paylaştım. Peki bir web güvenliği araştırmacısı olmak ister misiniz?

Katılan herkese tekrar teşekkürler! Aday göstermeniz, oylarınız ve en önemlisi araştırmanız olmasaydı bu mümkün olmazdı.

Bir dahaki sefere kadar!

James Kettle

Web zafiyetlerinizi Burp Suite Professional ile tespit edin, 

Yorum Yok

Üzgünüz, yorum formu şu anda kapalıdır.