infinitumit

Ana Sayfa|infinitumit

About infinitumit

Bu Üye henüz herhangi bir bilgi doldurmadı.
So far infinitumit has created 26 blog entries.

URL Fuzzing Nedir?

Fuzzing atak metodunu blackbox testlerde sistemler hakkında bilgi sahibi olmak için kullanırız. URL Fuzzing de bunun bir parçasıdır. URL Fuzzing işleminde olası dosya/klasör isimlerinin yer aldığı bir liste oluşturulur ve bununla sisteme http isteği attırılır. Doğru yapılandırılmış bir web sunucusunda olmayan bir dosyayı çağırdığınızda http response statü kodu 404 Not Found olarak gelir. Eğer

2019-11-08T12:55:23+03:008 Kasım 2019|Categories: Quick Tips|

Python ile OSINT Uygulamaları #1

Bilindiği üzere Python, özellikle güvenlik profesyonelleri için, öğrenilmesi kolay, kısa zamanda ve az miktarda eforla önemli işler yapılabilecek yüksek-seviye bir programlama dilidir. Sadeliği ve güçlü kütüphaneleri ile bilişimin herhangi bir alanında gerçekleştirilecek bir program için hem profesyoneller hem de yeni başlayanlar tarafından tercih edilmektedir. Özellikle betik yazımını desteklemesi ve can sıkıcı görevleri kısa sürede otomatize

2019-11-08T12:05:17+03:008 Kasım 2019|Categories: Quick Tips|

Log Nedir?

Log, bilişim sistemlerinde gerçekleşen her bir olayın kaydı anlamına gelir. Sistemlerinizde bilgi ve isteğiniz dışında çalışan bir program veya daha da kötüsü davetsiz bir misafir olabileceğinden, logların kayıt altında tutuluyor olması sitemleriniz açısından kritik önem arz etmektedir. Eğer log kaydı tutulmazsa sistemlerinize zarar verebilecek bu tür durumlardan yalnızca zarar gördükten sonra haberiniz olur. Bu da

2019-11-08T11:57:55+03:008 Kasım 2019|Categories: Quick Tips|

HTTP Metodları

HTTP, tarayıcı ile sunucu arasında iletişim kurmamıza olanak sağlayan bir protokoldür. Bu yazımızda HTTP protokolünün metodlarından bahsedeceğiz. GET Metodu: GET Metodu sunucudaki kaynaklara erişmek için kullanılır. GET metodu ile URL üzerinden verileri gönderilebilir. Bunun güzel yanı; URL üzerinden veriler arasında gezinilebilir, veriler üzerinde değişiklik yapılıp tekrar gönderebilir, hatta “geri” tuşuna basılarak önceki sorgular tekrar

2019-11-08T11:07:57+03:008 Kasım 2019|Categories: Quick Tips|

Deep Web ve Dark Web Nedir?

En yalın haliyle açıklamak gerekirse “deep web” ve “dark web”, biz internet kullanıcılarının sıradan arama motorları(Google, Bing vb.) aracılığı ile erişemediği adresleri temsil eder. Tek cümle ile açıklandığında aynı şeyi temsil ediyorlarmış gibi dursa da “deep web” ve “dark web” arasında önemli bir fark vardır. “Dark web”, arama motorları ile ulaşılamaması ile birlikte erişim için

2019-09-29T11:05:10+03:002 Eylül 2019|Categories: Deep Web & Dark Web|

Dark Web’de İllegal Satışlar Çeşitleniyor

Tenebra; illegal olarak Walmart, iTunes ve e-Bay gibi alışveriş yapılabilecek websiteler için kupon satışı, Netflix gibi platformlar için ise hesap satışı yapılan, kendi tanımlamaları ile “next generation” bir sanal market platformudur. Satılan kuponlar büyük ölçüde dünya devi alışveriş platformlarının paydaş şirketlerine sağladıkları kuponların ele geçirilmesi ile kara borsaya düşmektedir. Kullanıcı hesaplarının kara borsada bu kadar

2019-11-04T14:30:36+03:002 Eylül 2019|Categories: Deep Web & Dark Web|

OAuth Protokolü Nedir, Nasıl İstismar Edilebilir?

İnternet üzerindeki hemen her protokol ve bileşen gibi, OAuth protokolü de saldırganların hedefinde olmuş ve kötüye kullanımı amaçlanmıştır. Örnek senaryolara yer vermeden önce, OAuth protokolünü tanıyalım. OAuth protokolü, birden fazla servis veya sunucu arasında kimlik doğrulama veya yetkilendirme amacıyla kullanılır. Kullanıcıya herhangi bir parola ve hassas bilgi sormadığından ötürü daha güvenli olduğu düşünülmektedir ve

2019-09-26T09:06:40+03:0026 Temmuz 2019|Categories: Quick Tips, Zafiyetler|

Horde Webmail – XSS + CSRF to SQLi, RCE, Stealing Emails <= v5.2.22

Horde Webmail, web tabanlı ve günümüzün popüler e-mail istemcilerinden birisidir. Shodan üzerinde basit bir arama yapıldığında en az 3,751,150 sunucuda kullanıldığı görülmektedir. Bu kayıtların ortalama 2,511,221 tanesi Amerika Birleşik Devletleri lokasyonluyken; ortalama 105,733 kaydın ise Türkiye lokasyonlu olduğu belirtilmiştir. InfinitumIT tarafından keşfedilen ve CVE-2019-12094, CVE-2019-12095 kimlik numaralarına sahip güvenlik açıkları, saldırganların gelen ve gönderilen e-mail’leri ele geçirmesine

2019-09-26T10:24:04+03:0025 Mayıs 2019|Categories: Zafiyetler|

Microsoft PowerPoint Read-Only Protection Bypass

PowerPoint denilince birçok kişinin çalışma hayatında yer edinen, efektif sunumlar oluşturmak için kullanılan Microsoft ürünü gelmektedir. Sıkça kullanılan Microsoft PowerPoint’te birçok kişinin bilmediği önemli bir özellik mevcut; parola ile sunum güvenliğini sağlama. PowerPoint’te sunum dosyasının okunabilmesi fakat içeriğinin değiştirilememesi için dosyaya parola tanımlanabilmektedir. Fakat bu işlem kolayca atlatılabilmektedir. Bu durumun nasıl gerçekleştiğini sizler için aşama

2019-09-27T12:34:00+03:0016 Mayıs 2019|Categories: Quick Tips, Zafiyetler|

Network Otomasyonda Ansible Kullanımı

Network sistemlerinin büyümesi cihaz sayısının artmasıyla sonuçlanırken, çok sayıda cihazın yönetimi aynı işin bir kişi tarafından tekrar tekrar yapılmasıyla sonuçlanabiliyor. Bu bariz bir şekilde zaman kaybına neden olabiliyor. Aynı zamanda ayarları yapan operatörün onlarca/yüzlerce, hatta bazen binlerce cihaza aynı/benzer ayarları girerken kafasının karışabileceği, dikkatinin dağılabileceği gibi bir takım insani etkenlerde, bütün cihazlara aynı işlem

2019-09-26T21:41:51+03:0011 Mayıs 2019|Categories: Ansible|