15 07 2014

SQL enjeksiyonunun istismarı için bir çok araç bulunmaktadır. Bunlardan en ünlüsü sqlmaptir. Bu yazıda ise benzerlerinden bir kaç farkı olan sqlifuzzer aracı incelenmiştir.
Sqlifuzzer'ın en önemli özelliği Bash scriptte yazılması ve curl kullanmasıdır. Ayrıca Burp Suite proxy aracının loglarını yorumlayıp girdi noktalarını bulabilmektedir. Daha sonra bu girdi noktalarına belirtilen tiplerde payloadlar denemektedir. 

13 07 2014

Burp Suite Kullanarak XSS (Cross Site Scripting) Zafiyet Tespiti

Cross site scripting (XSS), web güvenlik açığı. HTML kodlarının arasına istemci tabanlı kod gömülmesi yoluyla kullanıcının tarayıcısında istenen istemci tabanlı kodun çalıştırılabilmesi olarak tanımlanır.[1] XSS açıklıkları bulunduğu yere göre değer kazanır ve stored, reflected ve dom based olmak üzere üç çeşidi bulunmaktadır.


Bir sistemde XSS zaafiyetinin tespiti için, sistemin kullanıcıdan girdi alabileceği yerler tespit edilir. Ardından tespit edilen yerlere veri girişi yapılır. Bu veri web uygulamanın kaynak kodları arasında yerini alıyorsa, payloadlar denenmeye başlanır. Burada anlatılmak istenen Burp suite aracı kullanarak iki farklı örnekle açıklanmıştır.

12 07 2014

Proaktif güvenliğin temel bileşenlerinden olan sızma testi çalışmaları  genellikle -maliyet vs gibi sebeplerden- yılda bir defalığına yapılır. Oysa orta ve büyük ölçekli firmaların  kullandığı IT sistemlerinde ortalama her hafta yüksek ve kritik öneme sahip güvenlik açıklıkları yayınlanmaktadır.

BGA olarak 2013 yılında gerçekleştirdiğimiz sızma testleri süresince azınsanmayacak oranda internet üzerinden basit hatalar nedeniyle sunucu sistemlere sızma yapıldığının tespit ettik. Buradan yola çıkarak firmaların sızma testi yaptırmadığı zaman aralığında en azından internet üzerinden düzenli güvenlik taraması yapabilmesi için kolları sıvayarak bulut tabanlı bir güvenlik açıklığı tarama sistemi geliştirdik.

Normshield adını verdiğimiz hizmetimizi ( www.normshield.com ) yaklaşık 3 aydır süren test aşamasını tamamlayarak Temmuz ayı itibariyle müşterilerimize sunmaya başladık. Amacımız hizmet verdiğimiz kurumların daha güvenli kalmasını sağlamak olduğu için alternatiflerine oranla oldukca uygun bir fiyat politikası belirledik.

Normshield nasıl çalışır?

*Öncelikle müşteri varlıklarını sisteme tanımlar ve düzenli aralıklarla güv. tarama isteğini gönderir. 

*Güvenlik tarama isteği Normshield yöneticilerinden birine düşer, talep ve varlığın tipine göre (Network, Sistem, Uygulama vs.) güvenlik taramaları gerçekleştirilir. 

*Güvenlik taramaları için sektörde bilinen ticari yazılımlar koşturulmaktadır, gerçekleştirilen güvenlik tarama çıktıları Normshield sistem yöneticileri tarafından detaylıca incelenerek hatalı bulgular ayıklanır ve kalan rapor sisteme yüklenir ve müşteri tarafından açılan denetim isteğinin durumu "Tamamlandı" ya çekilir, müşteriye işin durumuyla ilgili bilgilendirme maili ulaştırılır. 

*Bu aşamadan sonra müşteri hesap bilgilerini kullanarak (username, password + SMS authentication) sisteme girer ve tarama sonuçlarını inceler, tarama raporu alır ve ilgili ekiplerle paylaşır. 

*Kapatılan açıklıklar için müşteri durum bilgisini değiştiremez, Normshield sistem ekibine durum bilgisinin değiştirilmesine dair istek gönderir (bir tık kadar kolay bir şekilde), bu istek sistem yöneticileri tarafından incelenir ve açıklık gerçekten kapatıldıysa durum "Kapatılmıştır" a çekilir.



Normshield  Farkları:

Normshield hizmeti, benzeri güvenlik tarama hizmetlerinden aşağıdaki başlıklarda farklılıklar göstermektedir:

  • Aynı kategoride en az iki farklı güvenlik tarama yazılımı tarafından sistemin kontrolü gerçekleştirilir.
  • Tarama yazılımları sonucu çıkan bulgular elle kontrol edilip herhangi bir false positive içermediğinden emin olunduktan sonra Normshiel'e aktarılır.
  • Sistem kontrollü işletildiğinden dolayı tarama esnasında hedef sistemlere zarar vermez.
  • Çıktıları hem pdf ve diğer formatlarda raporlanabilmekte hem de normshield.com üzerinden incelenebilmektedir.
  • Amaç düzenli taramalar olduğu için 1 Adet C class ip adresi ve 10 adet uygulama için uygun fiyat.
  • Güvenlik açıklıklarını tarayan ve saklayan sistemlerin tamamı Türkiye'de bulunmaktadır ve her firmaya ait bulgular veritabanında şifreli olarak tutulmaktadır.
Normshield hakkında detay bilgi almak icin info@normshield.com adresine e-posta gönderebilirsiniz.

6 07 2014

Zararlı Kod İçeren Office Dosyalarının Analizi

“Zararlı Kod İçeren PDF Dosyalarının Analizi (http://blog.bga.com.tr/2014/07/zararl-kod-iceren-pdf-dosyalarnn-analizi.html)” yazısının devamı niteliğinde olan bu yazıda aynı derecede önemli zararlı kod içeren office dokümanlarının analizi konusu ele alınmıştır.

3 07 2014

Zararlı Kod İçeren PDF Dosyalarının Analizi


Zararlı kodların pdf, doc, xls gibi farklı doküman formatlarının içine gömülmesi sosyal mühendislik saldırılarında sıklıkla kullanılan bir yöntemdir. Dolayısıyla bu dosyaların da şüpheli durumlarda analiz edilmesi gerekmektedir. REMNux imajıyla gelen, doğrudan da elde edilebilecek çeşitli araçlarla PDF dosyalarının detaylı analizi yapılabilir.

30 06 2014

BGA BANK - Güven(siz) Internet Bankacılığı Uygulaması

“BGA BANK (Vulnerable Online Bank Application)” uygulaması PHP tabanlı çeşitli zafiyetler içeren sızma testi eğitim platformudur. Türkiye'deki bankacılık altyapısı incelenerek bu altyapılarda çıkabilecek tüm teknik ve mantıksal hatalar uygulamanın içine eklenmiş ve web uygulama güvenliği konusunda çalışanlar için gerçekci bir sızma testi platformu oluşturulmuştur. Webgoat, DVWA vs gibi benzeri amaçla yazılmış programlardan en temel farkı açıklıkların doğrudan kullanıcıya nerede olduğu ve nasıl istismar edileceği ile ilgili ipucu vermemesidir. 

28 06 2014

WebLogic Sisteminizi Daha Güvenli Hale Getirmek

Üç katmanlı web mimarisinde internete açık ve/veya lokal ağda çalışan kritik uygulamaların güvenliğini sağlarken, her katmanda ayrı ayrı güvenlik önlemleri alınır. Bu önlemlerin büyük bölümü firewall katmanına bırakılır ve firewall’dan sonrası büyük çoğunlukça önemsenmez. 

Oysa saldırıların ve güvenlik zaafların büyük çoğunluğu eski çalışanlar, sistemi detaylı bilenler veya ağ içerisindeki kullanıcılar tarafından yapılır. O bakımdan kiritik uygulamaların güvenlik önlemleri uygulama sunucuları seviyesinde de dikkate alınmalıdır.

Oracle WebLogic uygulama sunucusu kurumsal java dünyasında yaygın olarak kullanılan bir uygulama sunucusudur. Fakat WebLogic kurulumları çoğunlukla varsayılan konfigürasyonlar ile bırakılır. Eğer aşağıdaki hizmetlere yönelik bir “WebLogic Domain”i yönetiyor ve operasyonunu yürütüyorsanız;

26 06 2014

ASN Kayıtlarından ISP IP Bloklarını Öğrenme

ASN (Autonomous System Number) bilgisi kullanılarak bir IP’nin bulunduğu ISP ve ISP’lerin IP blokları tespit edilebilir.

Terminalden
whois -h asn.shadowserver.org 'origin ipadresi’    komutu ile bir IP’nin bulunduğu ISP’nin detayları listelenir. Komutun çıktısında en baştaki numara ASN’dir. Devamında
whois -h asn.shadowserver.org 'prefix ASN’    komutu ile ISP’nin IP blokları listelenir.




Aynı yöntemi kullanarak IP bloklarını veya IP adreslerini liste olarak elde etmek için Gökhan Alkan'ın yazdığı get_ip_via_asn.sh betiği (https://github.com/galkan/tools/blob/master/others/programming/bash/get_ip_via_asn.sh) kullanılabilir.

Betiğin kullanımı:
CIDR formatında almak için:
# ./get_ip_via_asn.sh -d bga.com.tr | head -5
103.21.244.0/24
103.22.200.0/24
103.22.201.0/24
103.22.203.0/24
103.31.4.0/24

IP adresi şeklinde almak için:
# ./get_ip_via_asn.sh -d bga.com.tr -i 1 | head -5
103.21.244.0
103.21.244.1
103.21.244.2
103.21.244.3
103.21.244.4
 

24 06 2014

DNS İsteklerini Analiz Ederek Zararlı Yazılım Tespiti

Zararlı yazılımlar komuta merkezleriyle haberleşmede alanadlarını sıklıkla kullanırlar. Alanladlarının kullanımı, internetin kalınına olduğu gibi zararlı yazılımlara da doğrudan IP adreslerinin kullanımıyla elde edemeyecekleri bir esneklik kazandırır. Bu esneklikten yararlanıp komuta merkezlerinin kapatılmasıyla zararlı yazılım ağının etkisizleştirilmesini zorlaştıracak yöntemler uygulayabilirler.

1. Alanadındaki Anormalliklerin İncelenmesi:
Alanadı gözden kaçması amacıyla bilindik bir alanadına çok benzer şekilde seçilmiş olabilir. Örneğin: rnicrosoft.com, 1inkedin.com gibi adreslere şüpheyle yaklaşılması gerekir.

13 06 2014


Kali Linux İşletim Sisteminin Root şifresinin Sıfırlanması
Linux işletim sistemlerinde root şifresi unutulduğu zaman, işletim sistemi “single mod” da açılıp şifre yeniden yapılandırılabilir. Farklı Linux işletim sistemleri için single mod a erişim elde edebilmek için farklı adımlar izlemek gerekebilir. Bu makalede Kali Linux işletim sistemi için root şifresinin nasıl sıfırlanacağı anlatılacaktır.
İzlenilecek adımlar;
  1. Kali Linux işletim sistemi başlatılır  
  2. Boot seçenekleri penceresi, ekrana geldiğinde klavyenin yön tuşları ile 2. satırda bulunan recovery mode’u seçilir.
    Not: Daha sonra çıkacak olan sürümlerde boot sıralaması değişebilir, bundan dolayı sıralamadan ziyade seçilen boot modunun ismine dikkat edilmelidir.


    Bu pencere görüntülendiğinde “e” tuşuna basılır (Edit = düzenle). Normalde Kali boot dosyalarını okuma modunda açar, bu işlem ile yazma moduna geçilerek şifre yeniden yapılandırılabilir.
  3. e” tuşuna basıldıktan sonraki ekrana gelecek olan pencere,

 
               Kırmızı çerçeve içerisine alınan kısımlarda düzenlemeler yapılması gerekiyor.
a-      ro = “Read Only “ anlamına gelmektedir. Hali hazırda olan konfigürasyonun okunup sistemin hızlı bir şekilde başlatılması için bu değer seçilidir. Bu değerin okuma ve yazma hakları ile aç anlamına gelen “rw” ile değiştirilmelidir.
b-     initrd=/install/initrd.gz satırının sonuna bir boşluk bırakarak init=/bin/bash komutu eklenir.

Bu düzenlemelerin yapılmış halinin ekran görüntüsü,

 Sistemi bu hali ile başlatmak için “Ctrl+X” tuş kombinasyonunun kullanılması gerekmektedir.

   4. Ekrana bildirim yazılarının dökülmesi bittiğinde Enter tuşuna basılıp, komut satırının görünürlüğü sağlanmalı. Şimdi şifre değiştirebilir. Gerekli olan komutlar kırmızı çerçeve içeresine alınmıştır.


Not: Görüldüğü üzere sistem bu modda başlatıldığında, root yetkileri ile açılmasına rağmen şifre istememektedir. Bu yöntem, unutulan şifrelerin tekrar kazanılması adına yararlı bir yöntem olduğu gibi, sistemin fiziksel güvenliği sağlanmadığı takdirde başkalarının sisteme erişimi noktasında bir zafiyet teşkil etmektedir.


 

Bu aşamadan sonra sistemin güç düğmesi kullanılarak kapatılıp, yeniden açılması gerekmektedir.

Artık sisteme yeni şifre ile giriş yapılabilir.