Kategoriler
web-application

XML External Entity (XXE)

XML harici varlık enjeksiyonu (XXE olarak da bilinir), bir saldırganın bir uygulamanın XML verilerini işlemesine müdahale etmesine olanak tanıyan bir web güvenlik açığıdır. Genellikle bir saldırganın uygulama sunucusu dosya sistemindeki dosyaları görüntülemesine ve uygulamanın kendisinin erişebildiği herhangi bir arka uç veya harici sistemle etkileşimde bulunmasına izin verir. Bazı durumlarda, bir saldırgan, sunucu tarafı istek sahteciliği (SSRF) […]

Kategoriler
web-application

Broken Authentication

Bozuk kimlik doğrulama, saldırganların çevrimiçi meşru kullanıcıları taklit etmek için yararlandıkları çeşitli güvenlik açıkları için kullanılan genel bir terimdir. Genel olarak, bozuk kimlik doğrulama, iki alandaki zayıflıkları ifade eder: oturum yönetimi ve kimlik bilgisi yönetimi. Her ikisi de bozuk kimlik doğrulama olarak sınıflandırılır. Çünkü saldırganlar kullanıcı kılığına girmek için caddeleri kullanabilir: ele geçirilmiş oturum kimlikleri […]

Kategoriler
web-application

CWE-89 SQL Injection

CWE-89 SQL Injection CWE-89 SQL Injection, bir SQL sorgusunda kullanılan özel öğelerin yanlış nötrleştirilmesinden kaynaklanan bir zayıflıktır. SQL enjeksiyonunun temel biçimi, SQL komutlarını oluşturmak için kullanılan değişkenlere saldırgan tarafından kontrol edilen verilerin doğrudan eklenmesini açıklar. Sonuç olarak, bir saldırgan dizeyi kalıcı olarak sonlandırarak, yeni komutlar ekleyerek vs. orijinal sorguyu kurcalayabilir. CWE-89 SQL Injection Etkisi Saldırgan, […]

Kategoriler
web-application

CWE-77: Command Injection

CWE-77: Command Injection Nedir? CWE-77: Command Injection; en tehlikeli web güvenlik açıklarından biridir. Birçok güvenlik testçisi ve ödül avcısı, hedef uygulama üzerinde yaratabilecekleri etki nedeniyle CWE-77: Command Injection güvenlik açıklarını bulmayı hedefler. Bu makalede sonunda komut enjeksiyonuna yol açabilecek çeşitli güvenlik açıklarına giriş ile birlikte komut enjeksiyonu güvenlik açıklarına genel bir bakış sağlayacaktır. CWE-77: Command […]

Kategoriler
web-application

CWE-79: Cross-site Scripting (XSS)

CWE-79: Cross-site Scripting (XSS) CWE-79: Cross-site Scripting (XSS) saldırıları, kötü amaçlı komut dosyalarının güvenilir web sitelerine enjekte edilmesini içeren bir enjeksiyondur. CWE-79: Cross-site Scripting (XSS) saldırıları genel olarak bir saldırganın tarayıcı tarafı komut dosyası şeklinde kötü amaçlı kodu farklı bir son kullanıcıya göndermek için bir web uygulaması kullandığında oluşmaktadır. Kötü amaçlı komut dosyası web sitesine […]