Hedef Sitede SQL Açığı Tespiti – Safe3 WVS
Deprecated: The PSR-0 `Requests_...` class names in the Requests library are deprecated. Switch to the PSR-4 `WpOrg\Requests\...` class names at your earliest convenience. in /home/u918363033/domains/berkeunal.com.tr/public_html/wp-includes/class-requests.php on line 24
Safe 3 Web Vulnerability Scanner NOT
Hedef sitede sql açığı tespiti için programı yönetici olarak çalıştırın. Ve tarama işlemini gerçekleştirebilmek için ’Vulnerability Setting’ bölümüde bulunan 8 adet aracı etkinleştirmemiz gerekiyor yoksa program çalışmayacaktır lisans uyarısı gelecektir.
Havij 1.16 NOT
Safe 3 Programını kullanarak bulduğunuz sql açığını havij programı ile değerlendirmek istiyorsanız havij 1.16 programını da yönetici olarak açmalısınız Yoksa 4 5 adet .dll hatası ile karşılaşacaksınız.
Hedef sitenin adresini yukarıdaki metin kutusuna yazıyoruz ve “Vulnerability Setting” bölümünde bulunan tüm araçları seçip “SCAN” butonuna basıp tarama işlemini başlatıyoruz
Başta devlet siteleri olmak üzere türk siteleri ile uğraşmayınız.Devlet sitelerinde açık taraması yapmaya çalıştığınız an programın yolladığı istekler hedef site tarafından algılanıyor ve otomatik olarak ip ban yiyorsunuz. Tarama işlemi kesiliyor ve size saldırı yaptığınız hakkında uyarı veriyor. Bazı sitelerde de bu önlemler alınmış durumda uyarı vermese dahi ip ban atabiliyor. Programın tanıtılma amacı kendi websiteniz üzerinde güvenlik açığı testi yapmanızdır.Programın açacağı sorunlardan siz sorumlu tutulursunuz.
Sitenin içeriğine göre tarama işlemi uzayabilir sabırlı olunuz.
Alt kısımdaki uyarılarda hedef sitemizle alakalı sonuçlar gelmeye başlıyor;
http://siteadresi.com/dizin/dizin/açıklı.url
exists sql injection uyarısı sitede sql açığının var olduğunu belirtiyor.
Hedef Sitede SQL Açığı Tespiti
Manuel olarak açığın varlığını kontrol etmek için url’yi kopyalayıp tarayıcıda açıyoruz.
“domain.com/xxxx.php?id=X”
X olan yerler sizde değişkenlik gösterebilir contact.php,article.php vs…
id=’den sonra gelen X ise herhangi bir rakamsal değer olacaktır bu da sizde farklılık gösterebilir.
Sonunda ‘ işareti koyarak uyarı verecek mi diye kontrol ediyoruz.
NOT: Shift+2 ile yapılan işareti (‘) kullanıyoruz. ” işareti ile karıştırmayın.
‘ işareti koyup adrese tekrar gittiğimizde uyarıyı aldık ve açığın olduğunu doğruladık. SQL Map,Havij gibi araçlar kullanarak SQL açığından faydalanarak admin paneline sızabilirsiniz,sitedeki kullanıcıların şifresi dahil tüm bilgilerine ulaşabişirsiniz.Bunların dışında veri tabanında tutulan tüm verilere doğrudan erişim sağlayabilirsiniz.
Havij aracı ile başarılı bir şekilde verilerin tutulduğu tabloyu görüntüledik.Peki buradan sonra ne olacak ?
- Havij programından bilgileri nasıl elde edeceğinizi bilmiyor olabilirsiniz, bu çok doğal.
- Admin panelinin şifresini bulduğumuzu varsayalım şifrenin MD5 ile şifrelenmiş olması yüksek bir ihtimal,nasıl çözebileceğinizi bilmiyor olabilirsiniz.
- Şifreyi bulsanızda bu şifreyi kullanabilceğiniz bir admin paneli bulmalısınız şifreler tek başına hiçbir işe yaramayabilir.
İşte bu soruların cevabını aşağıda paylaştık.
SQL Açıklı Siteden Veri Çekmek – Havij 1.16 Nasıl Kullanılır ?
MD5 Şifre Kırma ve MD5 Şifreleme (Online)
Hedef Site Admin Paneli Bulma
✪ İndirme Bağlantıları ✪
Safe3WVS – ile Hedef Sitede SQL Açığı Tespit Etme
https://yadi.sk/d/NoEmftrjEQprHA
