CyberWeb: Şubat 2021

Home Archives for Şubat 2021

25 Şubat 2021 Perşembe

SQL AÇIĞI NASIL KAPATILIR? | 2021

Her webmaster, coder sitesini yazarken belirli bir şifreleme kullanır. Genellikle bu md5 tir. Şifreler db ye md5 lenmiş halde gider. Böylece db ye yönelik bir saldırıda şifreler hala güvende kalır. Fakat şunu atlıyoruz. Yani şifreler yolda giderken saldırıya uğrarsa?

Hiçbirimiz şunu unutmamalıyız ki zırhlı bir aracın en güvensiz olduğu yer yol üstünde giderken ki halidir. Çünkü bir eylem içinde ve etrafını kontrol edemiyor. İşte sql injection ( ben kısaca sj diyeyim ) böyle bir saldırıdır. Bizim html veya php olan giriş sayfamıza yapılır.

Sj de bu dinamiklikten yararlanır ve bizi aynı kodlarla hataya düşürür. Sj direk bir hack yöntemi değildir.

Şöyle örnek vereyim maçlarda oyuncu pres yaparsa karşısındaki hataya zorlanır ve genelde hata yapar. İşte sj de böyledir.

Peki Biz Bundan Nasıl Korunacağız ?

Alt bulunan kodu config bilgilerini girdiğimiz dosyanın en altına yapıştırmamız yetecektir. Peki bu alttaki kod nasıl SQL İnj açığından Korunmamızı sağlıyor?

GET Methodu ile gelen bütün verileri kontrol ediyor, ve $priv8 İçindeki array’ler var mı yok mu kontrol ediyor…

EKLENECEK KOD:

$priv8 = array ('select', 'insert', 'delete', 'update', 'drop table', 'union', 'null', 'SELECT', 'INSERT', 'DELETE', 'UPDATE', 'DROP TABLE', 'UNION', 'NULL','order by','order by'); for ($i = 0; $i < sizeof ($_GET); ++$i){ for ($j = 0; $j < sizeof ($inj); ++$j){ foreach($_GET as $gets){ if(preg_match ('/' . $priv8[$j] . '/', $gets)){ $temp = key ($_GET); $_GET[$temp] = ''; exit

Config dosyasının altına eklemeniz yetecektir.

SQLMAP SHELL INJECTİON

cyberweb 12:18

SQLMAP SHELL INJECTİON

Greetings to dear CyberrWeb followers. Now I'm going to make very detailed explanation of how you can upload a shell by taking an advantage of the SQL vulnerability, when you couldn't find any admin panel at your target site.

First, in order to learn whether it is allowed to upload a shell to our target site, enter this command;

sqlmap.py -u siteadı.com --current-user --dbs

After that, it must indicate us like "current user is DBA : True". If it gives as "current user is DBA : False", that means we can not upload any shell.

Then in order to be able to upload shell to the site, we apply this command; sqlmap.py -u siteadı.com --os-shell

sqlmap.py -u siteadı.com --os-shell

After using this command, it will ask for what type of programming language the site has. ".ASP" is used at Windows based servers. If it is a Linux based server then ".PHP" is more likely to be. Look ending of the website adress to learn that.

sitename.com/index.php [PHP] / sitename.com/index.asp [ASP]

After you select the appropriate type of programming language, it will ask for the shell's name that is going to be uploaded. Uploading process will start after you enter the name.

TRANSLATOR: Ahmet Tevfik Çevik

WEB SERVICE SECURITY ASSESSMENT TOOL (WSSAT)

cyberweb 11:27

WEB SERVICE SECURITY ASSESSMENT TOOL (WSSAT)

Merhaba sevgili CyberrWeb takipçileri, Türk bir yapımcı tarafından yapılmış olan WSSAT hedef sitenin belirtilen parametleri verildiginde site içerisinde analiz gerçekleştirir çıkardığı sonuçları ise sizlere report.html olarak zafiyetleri bildirir içerisinde ise o sitede bulunmakta olan zafiyetler hakkında bilgilendirmeler mevcuttur.

USAGE VİDEO

DOWNLOAD

SQLI VULNERABILITY SCANNER

cyberweb 15:53

SQLI VULNERABILITY SCANNER

Merhaba Sevgili CyberrWeb Takipçileri, Sizler İçin Bir Çok Blog Adresinde Paylaşılmış Olan Ama İçerisinde Sakıncalı Virüs Olma İhtimali Yüksek Eklemeler Yapılmasından Dolayı En Güvenilir Olan Halini Temizleyerek Sizlere Sunduk.

SQLI VULN SCANNER NE İŞE YARAR?

Daha Önceleri Paylaştıgımız SQL Scanner Priv8 İle Aynı Mantıkta Çalışmaktadır. Fakat Aralarındaki Hız Farkı ve Bazı Sitelerdeki SQL Zafiyetlerini Daha Net Bulma Açısından Cracked.to Ekibinin Güncel Olarak Yayınladığı Bu Tool Daha Etkili Şekilde Çalışmaktadır!

DOWNLOAD

PASS: hackerhubb.blogspot.com

Nasa (Subdomain) XSS Vulnebrality

cyberweb 09:35

Nasa (Subdomain) XSS Vulnebrality

Hello CyberrWeb followers, now we are making the most detailed explanation of Nasa's security bug which is available in its most updated subdomain. Special thanks to the Defacer named "Kacang Kod" who is the creator of this video.

So you can find that video that explains how to take advantage of Nasa's XXS security bug that available in its subdomain. The video available down below. For more information, don't forget to subscribe to our blog address.

USAGE VİDEO

İnstagram Telif Scripti | 2021

cyberweb 07:22

İnstagram Telif Scripti | 2021

Merhabalar Sevgili CyberrWeb Takipçileri, Sizlere Özel 2021 İnstagram Telif Scriptini Sunuyoruz Basit ve Kurulum İstemez Sadece Host'a Yüklemeniz Yeterli Olacaktır İnstagram Formu Şeklinde Karşı Tarafa Göndereceginiz Bu Scripti Karşı Tarafa Sosyal Mühendislik İle Yedirtmeyi Başarabilirseniz Hedef Hesabınızın Giriş Şifrelerini Kolaylıkla Elde Edebilirsiniz!

Alacağınız Host Önerisi Olarak Sizlere Şuanki En Fazla Kullanılan Namecheap Tavsiyemizdir. Domain Adres Adınızı İçinde Support Geçen Yada İnstagram Geçen Bir İsim Belirlemeniz Yeterli Olacaktır.

Domain Alan Adını İse .business Almanız Şansınızı %50 Oranında Arttıracaktır.

Eğer Bunlardan Hiç Birine Erişiminiz Yoksa Blog Adresimizin İletişim Kısmından Bize Yazın En Uygun Şekilde Siz Değerli Takipçilerimize Sağlayalım.